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1. Добро пожаловать в СоЬаІІ Зігіке 

1.1 Что такое СоЬаІІ Зігіке? 

СоЬаІІ зігіке-это платформа для моделирования противника и операций Кесі Теат. 
Продукт предназначен для выполнения целевых атак и эмуляции действий пост 
эксплуатации продвинутых хакеров. Эта часть описывает процесс атаки, 
поддерживаемый набором функций СоЬаЙ Зігіке. В остальной части данного руководства 
эти функции подробно рассматриваются. 



Рисунок 1. Проблемы атаки 

Продуманная целенаправленная атака начинается с разведки. Системный 
профилировщик СоЬаІІ Зігіке - это веб-приложение, которое отображает "территорию" 
для атаки на стороне клиента. Выводы, полученные в ходе разведки, помогут вам 
понять, какие варианты атаки имеют наибольшие шансы на успех в вашей цели. 


Вооружение-это сопряжение пост-эксплутационной полезной нагрузки с 
документом или эксплойтом, который будет выполнять ее на цели. СоЬаІІ Зігіке 
имеет возможность превратить обычные документы в оружие. СоЬаІІ Зігіке также 
имеет возможность экспортировать свою пост-эксплутационную полезную 
нагрузку , Веасои, в различных форматах для сопряжения с инстурментами за 
пределами этого набора инструментов. 

Используйте фишинговый инструмент СоЬаІІ Зігіке зреаг, чтобы доставить ваш 
"вооруженный" документ одному или нескольким людям в сети вашей цели. Фишинговый 
инструмент СоЬаІІ Зігіке перепрофилирует сохраненные электронные письма в 
пиксельные фиши. 

Контролируйте сеть своей цели с помощью СоЬаІІ зігіке'з Веасои. Эта полезная нагрузка 
пост эксплуатации использует асинхронный "низкий и медленный " шаблон связи, 
который является общим для продвинутых вредоносных программ. Веасои будет ^ 

подключаться через БМЗ, НТТР или НТТР8. Веасои проходит через общие 
конфигурации прокси-серверов и подключается к нескольким хостам, чтобы 
противостоять блокировке. 
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Упражняйтесь в анализе атаки на вашу цель с помощью команды Веасоп - МаІІеаЫе и 
языка команд. Перепрограммируйте Веасоп, чтобы использовать сетевые 
индикаторы, которые выглядят как известные вредоносные программы или 
сливаются с существующим трафиком. 

Развернитесь в скомпрометированной сети, обнаружьте хосты и совершите боковое 
смещение с помощью полезной автоматизации Веасоп и одноранговой связи по 
именованным каналам и ТСР-сокетам. Собак Зйіке оптимизирован для захвата 
доверительных отношений и обеспечения бокового смещения с захваченными учетными 
данными, хэшами паролей, маркерами доступа и билетами Кегбегоз. 

Продемонстрируйте реальные бизнес риски. Встроенные инструменты Собак Зйіке 
позволяют легко развертывать регистраторы нажатий клавиш и инструменты для захвата 
скриншотов на скомпрометированных системах. Используйте проброску браузера, 
чтобы получить доступ к веб-сайтам, на которые ваш скомпрометированный целевой 
объект вошел с помощью Іпіетеі Ехріогег. Этот метод Собак зйіке работает с 
большинством сайтов и обходит двухфакторную аутентификацию. 

Функции отчетности Собак Зйіке реконструируют взаимодействие для вашего 
клиента. Предоставьте администраторам сети временную шкалу активности, чтобы они 
могли найти признаки атак в своих датчиках. Собак Зйіке генерирует 
высококачественные отчеты, которые вы можете представить своим клиентам в виде 
отдельных продуктов или использовать в качестве приложений к вашему письменному 
повествованию. 

На протяжении каждого из вышеперечисленных шагов вам нужно будет понять 
целевую среду, ее защиту и рассуждать о том, как лучше всего достичь своих целей с 
помощью того, что вам доступно. Это и есть уклонение. Это не цель Собак Зйіке, 
чтобы обеспечить уклонение. Продукт обеспечивает гибкость, как в своих 
потенциальных конфигурациях, так и в вариантах для выполнения атак, чтобы 
позволить вам адаптировать продукт к вашим обстоятельствам и целям. 

1.2 Установка и обновления 

8йаіе§іс Субег ІХС распространяет пакеты Собак Зйіке в виде собственных архивов для 
^шёом^з, Ёіпих и МасОЗ X. Чтобы установить Собак Зйіке, просто распакуйте архив в 

свою операционную систему. 


Системные требования 

Для Собак Зйіке требуется Огасіе Іаѵа 1.8, Огасіе Іаѵа 11, ог ОрешТОК 11. 

Если у вас есть какой-то антивирус, прежде чем устанавливать Собак зйіке - 
отключите его. 

Запуск программы обновления 

Дистрибутив Собак Зйіке содержит программу запуска Собак Зйіке для этой системы, 
вспомогательные файлы и программу обновления. Она не содержит саму программу 
Собак Зйіке. Для загрузки продукта Собак Зйіке необходимо запустить программу 
обновления. 
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,і:~/соЬа1*5ѣгіке# ./ирсіабе 

[-] I сап по* ■РіпсІ уоиг Іісепзе кеу, ріеазе епбег і* пом: 

0000-1111-2222-3333 

[+] Саісиіабе І“Ю5: соЬаІ*з*гіке.^аг 

[+] МР5: соЬаІ*з*гіке. ]аг - 37с17'Рс15сеес1369168300се8177с2ЬЬ58 
[+] Сбескіпд *ог 1а*ез* ѵегзіоп 

[+] йомпіоасііпд *бе 1а*ез* ѵегзіоп о* СоЬаІ* 5*гіке 
Ромпіоасіесі 512.ОкЬ 


Рисунок 2. Процесс обновления (Хорошая попытка, но ключ не подойдет) 

Убедитесь, что вы обновили программное обеспечение командного сервера и клиента с 
помощью лицензионного ключа. Собак зігіке, как правило, лицензируется на каждого 
пользователя. Сервер Іеат зегѵег не требует отдельной лицензии. 

1.3 Командный сервер 

Собак 8кіке делится на клиентские и серверные компоненты. Сервер, называемый 
командным сервером, является контроллером полезной нагрузки Веасоп и хостом для 
функций социальной инженерии Собак 8кіке. Командный сервер также хранит данные, 
собранные Собак 8кіке, и управляет протоколированием. 

Командный сервер Собак 8ігіке должен работать на поддерживаемой системе Ілпих. 
Чтобы запустить командный сервер Собак 8кіке, используйте скрипт іеатзегѵег, 
входящий в состав пакета Собак 8кіке Ілпих. 


Іі:~/соЬа1±з±гіке# .Аеатзегѵег 192.168.1.4 раззмогсі 
[*] Сепега1:іпд Х509 сегЬі-Рісаѣе апсі кеуз1:оге (-рог 55І_) 

[+] Теат зегѵег із ир оп 50050 

[*] 5НА1 НазН о-р ЗБЬ сегі: із: 1с11ес|-р9с2581 = Зеса9534с15с911е23002-р0Ь5а7е5 
О-Р-Рзеі із: 27006 

[+] Ьізіепег: Іосаі - Ьеасоп Рііір (ыіпсіоыз/Ьеасоп_Ніір/геѵегзе_Иіі:р) оп рогі 80 зіагіееі! 


Рисунок 3. Запуск командного сервера 

Командный сервер имеет два обязательных параметра и два необязательных параметра. 
Первый-это внешне доступный ІР-адрес командного сервера. Собак 8кіке использует это 
значение в качестве хоста по умолчанию для своих функций. Второй-пароль, который 
члены вашей команды будут использовать для подключения клиента Собак 8кіке к 
командному серверу. 

Третий параметр является необязательным. Этот параметр определяет профиль Маііеабіе 
С2. Эта особенность обсуждается в главах 11 и 12. 

Четвертый параметр также является необязательным. Этот параметр указывает дату 
уничтожения в формате гггг-ММ-ДД. Командный сервер будет вставлять эту дату 
уничтожения в каждый этап Веасоп, который он генерирует. Полезная нагрузка 
Веасоп перестанет работать на или после этой даты. Полезная нагрузка Веасоп также 
закончится, если он проснется в этот день или после него. 
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Когда командный сервер запустится, он опубликует хэш 8НА256 88Ь-сертификата 
командного сервера. Распределите этот хэш среди членов вашей команды. Когда члены 
вашей команды подключатся, их клиент СоЬаЙ 8йіке спросит, распознают ли они этот 
хэш, прежде чем он аутентифицируется на сервере команды. Это важная защита от атак. 

1.4 Клиент СоЬаІІ Зігіке 

Клиент СоЬаЙ 8іхіке подключается к командному серверу. Чтобы запустить клиент 
СоЬаЙ 8ігіке, используйте лаунчер, входящий в комплект вашей платформы. 


Вы увидите диалоговое окно подключения при запуске клиента СоЬаЙ 8ігі1се. 




127 . 0 . 0.1 

таІ\л/агес2.Іозеп... 


Соппес* 



тЫз із *Ье соппесі: сііаіод. Уои зНоиІс! изе И: Іо соппесі: 
Іо а СоЬаН: Зігіке (Аддгеззог) Іеат зегѵег. 


50050 


Нозі: 

Рогѣ: 

Сізег: |пео 

РаззжогсІ 


127 . 0 . 0.1 


Соппесі: 


Неір 


Рисунок 4. окно подключения СоЬаН 8ігіке 

Укажите адрес командного сервера в поле Нозі. Рог 1 по умолчанию для командного 
сервера-50050. Редко есть причина чтобы его изменить. Поле Ѵзег - это ваш ник на 
сервере команды. Измените его на ваш позывной, дескриптор или вымышленное имя 
хакера. Поле РаззлѵоЫ - это общий пароль для командного сервера. 

Нажмите Соппесі чтобы подключиться к командному серверу СоЬаЙ Зігіке . 

Если это ваше первое подключение к этому командному серверу, СоЬаЙ 8ігіке спросит, 
распознаете ли вы хэш 8НА256 этого командного сервера. Если да, нажмите ОК, и 
клиент СоЬаЙ 8ігіке подключится к серверу. СоЬаЙ 8ігіке также запомнит этот хэш 
8НА256 для будущих соединений. Вы можете управлять этими хэшами через СоЬаЙ 
8ігіке через СоЬаЙ 8ігіке -> Рге&гепсез -> Ріп§егргіпі8. 
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Рисунок 5. Подтверждение 88Ь сертификата сервера 

Собак Зігіке отслеживает командные серверы, к которым вы подключаетесь, и 
запоминает вашу информацию. Выберите один из этих профилей в левой части 
диалогового окна соппеск чтобы заполнить его информацией. Вы также можете 
сократить этот список с помощью Собак 8ігіке - > Ргеіегепсез - > Теаш 8егѵег8. 

1.5 Распределенные и командные операции 

Используйте Собак 8кіке для координации распределенных усилий Кеб Іеат. Разместите 
Собак 8кіке на одном или нескольких удаленных хостах. Запустите командные серверы 
и пусть ваша команда подключится. 



Рисунок 6. Распределенные операции с Собак 8ігіке 

После подключения к командному серверу ваша команда будет: 

• Использовать одинаковые сессии 

• Иметь общий доступ к хостам, записанным данным и загруженным файлам 

• Связь будет осуществляться через общий журнал событий. 

Клиент Собак 8кіке может подключаться к нескольким командным серверам. 
Перейдите к Собак 8(тіке - > №\ѵ Соппесйоп, чтобы инициировать новое соединение. 
При подключении к нескольким серверам в нижней части окна Собак 8кіке появится 
панель переключения. 
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Рисунок 7. Смена сервера 

Эта панель позволяет переключаться между активными экземплярами сервера Собак 
Зігіке. У каждого сервера есть своя кнопка. Щелкните правой кнопкой мыши на кнопке 
и выберите Кепаше, чтобы текст кнопки отражал роль сервера во время вашего 
взаимодействия. Это имя кнопки также будет идентифицировать сервер в отчете о 
действиях СоЬаЙ Зігіке.. 

При подключении к нескольким серверам Собак Зігіке объединяет перехватчики со всех 
серверов, к которым он подключен. Эта агрегация позволяет отправлять фишинговое 
письмо с одного сервера, которое ссылается на вредоносный веб-сайт, размещенный на 
другом сервере. В конце вашего взаимодействия функция отчетности Собак Зітіке 
запросит все серверы, к которым вы подключены, и объединит данные, чтобы рассказать 
одну историю. 

1.6 Скриптование СоЬаІ I 51 г і ке 

Собак Зітіке может быть заскриптован с помощью языка скриптов А§§ге83ог. А§§ге 880 г 
Зсгірі: является духовным преемником языка сценариев Кортаны Агтка§е. Однако эти два 
понятия несовместимы. Чтобы управлять скриптами, перейдите в Собак Зігіке - > Зсгірі 
Мапа§ег. 



Рисунок 8. Менеджер скриптов 

Базовый скрипт внутри Собак Зітіке определяет все всплывающие меню Собак Зігіке и 
форматирует информацию, отображаемую в консолях Собак Зйіке. С помощью 
скриптового движка А§§ге 880 г вы можете переопределить эти значения по умолчанию 
и настроить Собак Зітіке в соответствии с вашими предпочтениями. 

Вы также можете использовать А§§ге 880 г Зсгірб для добавления новых функций в 
Собак Зйіке'з Веасоп и автоматизации некоторых задач. 

Чтобы узнать больше о скрипте А§§ге 880 г, обратитесь к его документации по ссылке: 

• ЬЦр5://ѵѵѵѵщ.собак5Щке.сот/а§§ге550г-5сгір<:/ 
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2 . Интерфейс пользователя 


2.1 Обзор 

Пользовательский интерфейс СоЬаЙ 8ітіке разделен на две части. В верхней части 
интерфейса отображается визуализация сеансов или целей. В нижней части интерфейса 
отображаются вкладки для каждой функции или сеанса СоЬаЙ Зігіке, с которыми вы 
взаимодействуете. Вы можете щелкнуть на область между этими двумя частями и 
изменить их размер по своему вкусу. 



Веасоп 10.10.10.198@8040 X I Ргосеввее 10.10.10.198@6984 X I Веасоп 10.10.10.198@6984 X I Веасоп 10.10.10.191@4844 X [ 


Ьеасоп > пеТ сотритеГ5 
[*] Тазкесі Ьеасоп То гип пеТ сотриТегз 
[+] Й05Т саііеіі Моте, 5епТ: 87689 ЬуТез 
[+] гесеіѵеіі оиТриТ: 

Сотрите Г5і 

5егѵег Иате ІР АсМгезв 


йС 10.10.10.3 

МАІІ_ 10.10.10.5 

0ЕѴЕІ.0РЕВМ5 10.10.10.198 

РІІ_Е5ЕРѴЕР 10.10.10.7 

И51 10.10.10.191 

Н52 10.10.10.190 


[Н51] ;)іт.5Іеѵеп5/4844 

ІазТ: 25 




Рисунок 9. Пользовательский интерфейс СоЬаЙ 8ігіке 


2.2 Панель 

Панель инструментов в верхней части СоЬаЙ 8йіке обеспечивает быстрый доступ к 
общим функциям СоЬаЙ 8йіке. Знание кнопок панели инструментов значительно 
ускорит использование СоЬаЙ 8йіке. 

Подключение к другому командному серверу 
Отключение от текущего командного сервера 

Создание и редактирование перехватчиков СоЬаЙ 8йіке 

Переключиться на визуализацию проброски 
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Перейте к таблице сессий 
Перейти к таблице целей 

Посмотреть учетные данные 
Посмотреть скачанные файлы 
Посмотреть горячие клавиши 
Посмотреть скриншоты 

Создание СоЬаЙ Зіхіке ехе файла от БІХ без стадий 
Настройка атаки подписанного апплета .Іаѵа 
Создание вредоносного макроса Місгозой ОЙтсе без стадий 
Скриптованная атака \Ѵеб-ёе1іѵегу 

Разместить файл на веб-сервере СоЬаЙ 8ітіке 

Управление файлами и приложениями, размещенными на веб-сервере Собак Зітіке 

Посетить страницу помощи Собак 8йлке 
Об Собак Зйіке 


2.3 Визуализация цели и сессии 

Собак 8ітіке имеет несколько визуализаций, каждая из которых предназначена для 
помощи в различных разделах. Вы можете переключаться между визуализациями через 
Панель инструментов или меню Собак 8ігіке -> Ѵізиаіігаііоп. 


Окно целей 

Окно целей показывает цели в модели данных Собак 8ігіке. В таблице целей 
отображается ІР-адрес каждой цели, ее №ШЮ8-имя и примечание, которое вы или один 
из членов вашей команды указали для этой цели. Значок слева от цели указывает на ее 
операционную систему. Красный значок с молниями указывает, что цель имеет сеанс 
Собак 8кіке Веасоп, связанный с ней. 


асісігезз * 

пате 

поіе 


■ 10.10.10.1 

ЯП 10.10.10.3 

о 10.10.10.5 

52 ю.10.10.7 

ЯР 10.10.10.21 

ОС 

МАИ 

РІІ_Е5ЕКѴЕК 

сіотаіп сопігоііег Іог СОПР 


10.10.10.50 

Е83 10.10.10.190 

ѴѴ52 



52 10.10.10.191 

ѴѴ51 



52 ю.10.10.198 

0ЕѴЕ60РЕПѴѴ5 

сіеѵеіорег'8 Бузіет 


Й9В 192.168.57.18 

иЬипІи 



О 192.168.57.240 

ОЕѴЕЮРЕКѴѴ5 



Г«е 192.168.58.3 

РОѴѴЕРЮС 



Ці 192.168.58.35 

ЕЫСІЫЕЕП 

5САОА НМІ 

ж 


Рисунок 10. обзор целей в Собак 8ігіке 


13 




ѵѵѵѵл/ѵ.соЬаКзІхіке.сот 


Щелкните любой из заголовков таблицы, чтобы отсортировать хосты. Выделите 
строку и щелкните на нее правой кнопкой мыши, чтобы открыть меню с опциями для 
этого хоста. Нажмите СМ и АЙ и кликните, чтобы выбрать и отменить выбор 
отдельных хостов. 

Таблица целей полезна для бокового смещения и для понимания сети вашей цели. 

Таблица сессий 

Таблица сессий показывает, какие Веасопз вызывают СоЬаЙ 8Мке. Веасоп является 
полезной нагрузкой СоЬаЙ 8Мке для эмулирования действий хакеров.Здесь вы увидите 
внешний ІР-адрес каждого Веасоп,внутренний ІР-адрес, когда Веасоп в последний раз 
обращался "домой" и другую информацию. Рядом с каждой строкой находится значок, 
указывающий операционную систему скомпрометированной цели. Если значок красный с 
молниями, Веасоп работает в процессе с правами администратора. Выцветший значок 
указывает, что сеанс Веасоп был запрошен для выхода, и он подтвердил эту команду. 



ехіегпаі 

іпіегпаі 

ІізЬэпег 
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2604 

х64 

65 

О 

10.0.0.147 

10.10.10.191 
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Ііт.зіеѵепз 

ѴѴ51 
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х86 
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х86 

65 

- 
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РЕѴЕЮРЕВѴѴ5 
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х86 
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ІосаІ - сіпз 
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10.10.10.7 ~~ 

192.168.58.3 

ІосаІ - Икр 

5У5ТЕМ * 

РОѴѴЕВБС 

гипсІІІ32 .ехе 
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Зт 

V 
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192.168.58.35 
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ЕЫСІЫЕЕР 
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1512 
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Рисунок 11. Инструмент Управления СоЪаІі зігіке'з Веасоп 

Если вы используете перехватчик БЫЗ-Веасоп, имейте в виду, что СоЬаЙ 8Мке ничего 
не будет знать о хосте, пока он не войдет в систему в первый раз. Если вы видите запись 
с последним временем вызова, и это все, вам нужно будет дать этому Веасоп его первую 
задачу, чтобы увидеть больше информации. 

Щелкните правой кнопкой мыши на одном или нескольких Веасоп'з, чтобы увидеть ваши варианты 
пост-эксплуатации. 

График проброски 

СоЬаЙ 8кіке обладает способностью связывать несколько Веасоп в цепь. Эти связанные 
Веасоп получают команды и посылают ответы через родительский Веасоп в их цепи. 

Этот тип цепочек полезен для контроля того, какие сеансы выходят из сети, и для 
эмуляции хакера, который ограничивает свои коммуникационные пути внутри сети чем- 
то правдоподобным. Эта цепочка Веасопз является одной из самых мощных функций в 
СоЬаЙ 8йіке. 

Рабочие процессы СоЬаЙ 8й'іке делают эту цепочку очень легкой. Это не редкость для 
операторов СоЬаЙ 8йіке, которые регулярно связывают Веасоп на четыре или пять 
уровней глубиной. Без наглядного пособия очень трудно отслеживать и понимать эти 
цепочки. Вот где появляется график проброски. 

График проброски показывает ваши цепочки Веасоп естественным образом. Каждая 
сессия Веасоп имеет значок. Как и в таблице сеансов: значок для каждого хоста 
указывает на его операционную систему. Если значок красный с молниями, маяк 
работает в процессе с правами администратора. Более темный значок указывает, что 
сеанс Веасоп был запрошен для выхода, и он подтвердил эту команду. 
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Значок брандмауэра представляет точку выхода полезной нагрузки вашего Веасоп. 
Пунктирная зеленая линия указывает на использование соединений НТТР или 
НТТР8 Веасоп для выхода из сети. Желтая пунктирная линия указывает на 
использование БЫ8 для выхода из сети. 




]ілі.${еѵеп5 
^ И51 @ 4844 


5У5ТЕМ * 

ЕИЕ5ЕКѴЕК @ 2604 


. 


5У5ТЕМ * 

0ЕѴЕЮРЕКИ5 @ 3100 



І5С0ММЕСТЕІ 


5У5ТЕМ * 
РОИЕКЭС @ 3956 



5У5ТЕМ * 
ЕМС1ЖЕК @ 1512 



^іе.Сгіп& 
0ЕѴЕЮРЕКК5 @ 5532 


]дпп5 

иЬипІи 


Рисунок 12. График СоЬаК 8ігіке 


Стрелка, соединяющая один сеанс Веасоп с другим, представляет собой связь между 
двумя Веасоп. Веасоп СоЬаЙ 8Мке использует именованные каналы \ѴіпсІо\ѵ8 и ТСР- 
сокеты для управления Веасоп в этом одноранговом режиме. Оранжевая стрелка - это 
именованный канал канала. Сеансы 88Н также используют оранжевую стрелку. Синяя 
стрелка - это канал сокета ТСР. Красная (именованный канал) или фиолетовая (ТСР) 
стрелка указывает, что связь Веасоп нарушена. 

Щелкните по Веасоп, чтобы выбрать его. Вы можете выбрать несколько Веасоп, 
щелкнув и перетащив поле на нужные хосты. Нажмите СМ и 8Ьій и щелкните, чтобы 
выбрать или отменить выбор отдельного Веасоп. 

Щелкните правой кнопкой мыши на Веасоп, чтобы открыть меню с доступными вариантами пост¬ 
эксплуатации. 

Некоторые доступные горячие клавиши: 

• Сігі+Ріиз — приблизить 

• СІГІ+МІІШ5 — отдалить 

• Сігі+О — сбросить приближение 

• Сігі+А — выбрать все хосты 

• Езсаре — очистить секцию 

• Сігі+С — расположить хосты по кругу 

• СігІ+5 — расположить хосты в стопку 
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• Сігі+Н — отсортировать хосты по иерархии 

Щелкните правой кнопкой по графику без выбранных Веасоп, чтобы настроить макет этого графика. 

2.4 Вкладки 

Собак 8йіке открывает каждое диалоговое окно, консоль и таблицу во вкладке. 

Нажмите кнопку X, чтобы закрыть вкладку. Используйте Сігі+Б, чтобы закрыть 
активную вкладку. С(хІ + 8ЫЙ+Б закроет все вкладки, кроме активной. 

Вы можете щелкнуть правой кнопкой мыши кнопку X, чтобы открыть вкладку в окне, 
сделать снимок экрана вкладки или закрыть все вкладки с одинаковым именем. 

Для этих функций также существуют сочетания клавиш. Используйте Сіг1+\Ѵ, чтобы 
открыть активную вкладку в ее собственном окне. Используйте Сігі+Т, чтобы быстро 
сохранить снимок экрана активной вкладки. 

Сочетание клавиш Сігі+В отправит текущую вкладку в нижнюю часть окна Собак 
8 кіке Это полезно для вкладок, которые нужно постоянно смотреть. СігІ+Е отменит 
это действие и удалит вкладку в нижней части окна Собак 8йіке. 

Удерживая клавишу збій, нажмите кнопку X, чтобы закрыть все вкладки с одинаковым 
именем. Удерживая клавишу збій + сопйоі, нажмите кнопку X, чтобы открыть вкладку 
в отдельном окне. 

Используйте клавиши Сігі + ЬеЙ и Сіг1+Ш§М для быстрого переключения вкладок. 

Вы можете перетаскивать вкладки, чтобы изменить их порядок. 

2.5 Консоли 

Собак 8йіке предоставляет консоль для взаимодействия с сеансами Веасоп, 
сценариями и чатами с вашими товарищами по команде. 


Еѵепі бод X Сгесіепііаіз X Веасоп 192.168.58.20@2948 X | Веасоп 192.168.57.8@120 X Веасоп 10.10.10. 189@3344 X | 


192.168.58.20:139 

192.168.58.20:135 


[+] гесеіѵе<1 оиіриі: 

192.168.58.1:80 

192.168.58.1:22 (55Н-2.0-0реп55Н_5. Зрі 0еЫап-ЗиЬипИи7.1) 

192.168.58.20:445 (рІаГГогт: 500 ѵег5Іоп : 6.1 пате: ВІШЖ-РОМЕР (Іотаіп: С0КР) 

Зсаппег тогіиіе І5 сотріеііе 


[-] І05І: Нпк Іо рагепі Ьеасоп: 10.10.10.4 
■] І05І: Ипк 1:о рагепі Ьеасоп: 10.10.10.4 
[+] е5ІаЫІ5Ье(І Ііпк Іо рагеп* Ьеасоп: 10.10.10.4 

Ьеасоп> рші 

[*] Тазкесі Ьеасоп Іо ргіпі: могкіпд Лгесіогу 

[+] Ьо5І; саііесі Ьоте, зепі;: 8 Ьуііез 

[*] Сиггепі сіігесііогу І5 С:\Міп(1ом5\5у5І:ет32 

і 

[ВІШМ6- РОМЕР] 5У5ТЕН */2948 

Іаві: 395 

Ьеасоп> | 

1 


Рисунок 13. Окно консоли 

Консоли отслеживают историю ваших команд. Используйте стрелку вверх для 
циклического перебора ранее введенных команд. Стрелка вниз возвращается к 
последней введенной команде. 
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Используйте клавишу ТаЬ для завершения команд и параметров. 

Используйте Сігі + Р1и8, чтобы увеличить размер шрифта консоли, Сігі+Міпиз, чтобы 
уменьшить его, и СігІ+О, чтобы сбросить его. Это изменение является локальным только 
для текущей консоли. Посетите Собак 8ігіке - > Ргеіегепсез, чтобы навсегда изменить 
шрифт. 

Нажмите Сігі+Р, чтобы открыть панель, которая позволит вам искать текст в консоли. 
Используйте Сігі+А для выделения всего текста в буфер консоли. 

2.6 Таблицы 

Собак Зігіке использует таблицы для отображения сеансов, учетных данных, 
целей и другой информации о взаимодействии. 

Большинство таблиц в Собак 8кіке имеют возможность изменить цвет выделенных 
строк. Эти подсвечивания видны и другим клиентам Собак 8кіке. Щелкните правой 
кнопкой мыши и откройте меню цвета. 

Нажмите Сігі+Р в таблице, чтобы открыть панель поиска таблицы. Эта функция 
позволяет фильтровать текущую таблицу. 


асісігезз 

пате 

1 поіе _ 

Е25 172.16.20.3 

ОС 


Г?й 172.16.20.80 

ОКАІЧІТЕ 


О 172.16.20.81 

СОРРЕР 


Ці 172.16.20.128 

теІіазрІоіІаЫе 


ЦР 172.16.20.143 

МАРВ1_Е 


■■ 172.16.20.163 

ОУАРтг 



Рікег: | 

Г] |І 17 2.16.20.0/24[ 

1 

асісігезз ▼ 

1 йкег аррііесі. 



Ас! с! 

Ітрог* 

Кетоѵе 

Ыо1:е... 

Неір | 


Кезеі 


X 


Рисунок 14. Таблица в панели поиска 

В текстовом поле вводятся критерии фильтрации. Формат критериев зависит от столбца, 
к которому вы хотите применить фильтр. Используйте обозначения СШК (например, 
192.168.1.0 / 24) и диапазоны хостов (192.168.1-192.169.200) для фильтрации столбцов, 
содержащих адреса. Используйте числа или диапазоны чисел для столбцов, содержащих 
числа. Используйте подстановочные знаки ( * ,?) для фильтрации столбцов, содержащих 
строки. 

кнопка ! убирает текущий критерий. Нажмите клавишу еиіег, чтобы применить 
указанные критерии к текущей таблице. Вы можете складывать вместе столько 
критериев, сколько захотите. Кнопка Кевеі удаляет фильтры, примененные к текущей 
таблице. 
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3. Управление данными 

3.1 Обзор 

Командный сервер СоЬаЙ 8йіке является посредником для получения информации, 
собранной компанией СоЬаЙ 8йіке во время вашего участия. СоЬаЙ Зігіке анализирует 
выходные данные своего Веасоп для извлечения целей, служб и учетных данных. 


Если вы хотите экспортировать данные СоЬаЙ 8йіке, вы можете сделать это через 
Керогііп§ -> Ехрогі Баіа. СоЬаЙ зйіке предоставляет опции для экспорта своих данных 
в виде Т8Ѵ и ХМЬ файлов. Функция экспорта данных клиента СоЬаЙ 8йіке объединит 
данные со всех серверов команды, к которым вы в данный момент подключены. 


3.2 Цели 

Вы можете взаимодействовать с информацией о цели СоЬаЙ 8йіке через Ѵіе\ѵ - > 
Таг§еІ8. На этой вкладке отображается та же информация, что и в визуализации цели. 

Нажмите кнопку Ітрогі, чтобы импортировать файл с информацией о цели. СоЬаЙ 
8йіке принимает текстовые файлы с одним хостом на строку. Он также принимает 
ХМЬ-файлы, созданные ІЧіпар (опция-оХ). 

Нажмите кнопку АсЫ, чтобы добавить новые цели в модель данных СоЬаЙ 8йіке. 


Агігі Тагде* 

АсісІ а пе\л/ Іагдѳі:. 




Асісігезз : 

Ыате: 

оз: 

ІЧсгіе: 


1192.168.1.0/24 


\А/іпс1о\а/з 8.1 



5аѵе 


Рисунок 15. Добавление цели 

Этот диалог позволяет добавить несколько хостов в базу данных СоЬаЙ 8йіке. Укажите 
диапазон ІР-адресов или используйте нотацию СШК в поле Асісігезз, чтобы добавить 
несколько хостов одновременно. Удерживая нажатой клавишу зЫй, нажмите кнопку 
8аѵе, чтобы добавить хосты в модель данных и сохранить это диалоговое окно 
открытым. 


Выберите один или несколько хостов и щелкните правой кнопкой мыши, чтобы 
открыть меню хостов. В этом меню можно изменить примечание для хоста, задать 
информацию об операционной системе или удалить хосты из модели данных. 
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3.3 Сервисы 

На экране целей щелкните правой кнопкой мыши по Ьозі и выберите 8егѵісе8. Это 
откроет браузер сервисов Собак 8кіке. Здесь вы можете просматривать службы, 
добавлять примечания к различным службам, а также удалять служебные записи. 


асісігезз 

рог* ж 

Ьаппег поіе 


10.10.10.0 

22 

55Н-2.0-Ореп55Н_5.3р1 ОеЬіап-ЗиЬипІи7.1 


10.10.10.21 

22 

55Н-2.0-Ореп55Н_5.3р1 ОеЬіап-ЗиЬип1:и7 


10.10.10.5 

25 

220 АСМЕ Согрогаііоп МаіІ Зегѵег [ЬМаіІЗегѵег] 


10.10.10.1 

53 



10.10.10.3 

53 



10.10.10.0 

80 



10.10.10.21 

80 



10.10.10.1 

81 



10.10.10.3 

88 



10.10.10.5 

110 



10.10.10.3 

135 








| Кетоѵе | [ ІЧоІе... 11 Неір | 


Рисунок 16. Окно сервисов 


3.4 Учетные данные 

Перейдите в меню Ѵіетѵ - > Сгесіепііаіз, чтобы взаимодействовать с моделью учетных 
данных Собак 8ігіке. Нажмите кнопку АйсІ, чтобы добавить запись в модель учетных 
данных. Опять же, вы можете нажать зЫй и 8аѵе, чтобы сохранить диалоговое окно 
открытым и облегчить добавление новых учетных данных в модель. Нажмите кнопку 
Сору, чтобы скопировать выделенные записи в буфер обмена. Используйте Ехрогі для 
экспорта учетных данных в формате Р\УБитр. 


Сгесіегкіаіз X 


изег 

Сиезі: 

5УРРСЖТ_3889. 

Асітіпізітаііог 


раззѵу/огсі геаіт 

ЗІсІбс^еОсІІбае.,. РІІ.Е5ЕКѴЕК 
5асе382672979... РІІ.Е5ЕКѴЕК 
4сІ714387б27сІ0... РІІ.Е5ЕКѴЕК 


поіе 


зоигсе 

НазНсІитр 

НазНсІитр 

НазНсІитр 


Нозі 

10.10.10.4 

10.10.10.4 

10.10.10.4 


! АсІсІ | 

ЕсІИ 

Сору 1 

Кетоѵе 

Неір 


Рисунок 17. Учетные данные 


3.5 Поддержка 

Модель данных Собак 8кіке хранит все свои метаданные в папке сіакі/. Эта папка 
находится в папке, из которой вы запустили командный сервер Собак 8кіке. 

Чтобы очистить модель данных Собак 8йіке: остановите командный сервер, 
удалите папку сіаіа/ и ее содержимое. Собак 8кіке воссоздаст папку скйа/ при 
следующем запуске командного сервера. 

Если вы хотите заархивировать модель данных, остановите командный сервер и 
используйте свою любимую программу чтобы сохранить папку сіаіа/ и ее файлы в другом 
месте. Для восстановления модели данных, остановите сервер, и восстановите старое 
содержимое в папке сіаіа/. 

Керогііп" - > Кевеі Баіа сбрасывает модель данных Собак 8кіке без перезагрузки 
командного сервера. 
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4. Перехватчик и управление инфраструктурой 

4.1 Обзор 

Первым шагом любого взаимодействия является настройка инфраструктуры. В случае 
Собак 8кіке инфраструктура состоит из одного или нескольких командных серверов, 
редиректоров и записей БЫ8, которые указывают на ваши командные серверы и 
редиректоры. После того как командный сервер будет запущен, вы захотите 
подключиться к нему и настроить его на получение соединений от скомпрометированных 
систем. Перехватчики являются механизмом Собак зкіке, чтобы сделать это. 

Перехватчик-это одновременно информация о конфигурации для полезной нагрузки и 
директива для Собак 8кіке, чтобы сервер мог принимать соединения от этой полезной 
нагрузки. Перехватчик состоит из имени, типа полезной нагрузки и нескольких 
параметров, специфичных для полезной нагрузки. 

4.2 Управление перехватчиками 

Чтобы управлять перехватчиками Собак 8ігіке, перейдите в раздел Собак 8ігіке - > 
ІЛ8Іепег8. Откроется вкладка со списком всех настроенных полезных нагрузок и 
перехватчиков. 



Рисунок 18. Окно управления перехватчиком 


Нажмите Асій чтобы создать новый перехватчик. 

Когда вы создаете перехватчик убедитесь, что вы даете ему запоминающееся имя. Это 
имя-то, как вы будете обращаться к этому перехватчику через команды и рабочие 
процессы Собак 8кіке. 

Чтобы изменить и подсветить перехватчик нажмите Ейк. 

Чтобы удалить и подсветить перехватчик нажмите Кетоѵе. 

4.3 Полезная нагрузка СоЬак 5(гіке'$ Веасоп 

Чаще всего, вы будете настраивать перехватчики для полезной нагрузки Собак 8іхіке'$ 
Веасоп. Веасоп-это полезная нагрузка Собак 8іхіке для моделирования продвинутых 
атак. Используйте Веасоп для выхода в сеть по протоколу НТТР, НТТР8 или БМ8. Вы 
также можете ограничить, какие хосты входят в сеть, управляя одноранговыми Веасоп 
через именованные каналы \УіпсІо\ѵ8 и сокеты ТСР. 


20 













ѵѵл/ѵѵѵ.соЪаІЫІтіке.сот 


Веасоп гибок и поддерживает асинхронную и интерактивную связь. Асинхронная связь 
низкая и медленная. Веасоп сделает запрос домой, загрузит свои задачи и уснет. 
Интерактивное общение происходит в режиме реального времени. 

Индикаторы сети Веасоп - гибкие. Переопределите связь Веасоп с таІІеаЫе С2 
языком СоЬаЙ 8Шке. Это позволяет скрыть активность Веасоп, чтобы выглядеть как 
другие вредоносные программы или смешаться с обычным трафиком. Эта 
особенность обсуждается в главе 11. 

4.4 Установка полезной нагрузки 

Одна из тем, которая заслуживает упоминания в качестве справочной информации, - 
установка полезной нагрузки. Многие фреймворки атак отделяют атаку от материала, 
который она выполняет. Этот материал, который выполняет атака, известен как полезная 
нагрузка. Полезные нагрузки часто делятся на две части: стадию полезной нагрузки и 
небольшие рауіоасі з1а§ег. 8іа§ег-это небольшая программа, обычно оптимизированная 
вручную, которая загружает этап полезной нагрузки, вводит его в память и передает ему 
выполнение. Этот процесс известен как зГа§іп§. 

Процесс 8Іа§іп§ необходим в некоторых нападениях. Многие атаки имеют жесткие 
ограничения на то, сколько данных они могут загрузить в память и выполнить после 
успешной эксплуатации. Это значительно ограничивает ваши возможности пост¬ 
эксплуатации, если вы не устанавливаете свою полезную нагрузку пост-эксплуатации 
поэтапно. 

СоЬаЙ 8ігіке использует 8Іа§іп§ в своих пользовательских атаках. Большинство элементов 
находится в разделе АИаскз -> Раска«е$ апсі Аііаскз -> \УеЪ Бгіѵе-Ьу . Используемые в 
этих местах 8Га§егз зависят от полезной нагрузки, связанной с атакой. Например, Веасоп 
Ьйр имеет Ьйр 8Іа§ег. У ЭЫ8-Веасоп есть 8Іа§ег записи ЭЫ8 ТХТ. Не все полезные 
нагрузки имеют параметры 8Іа§ег. Полезные нагрузки без зіадег не могут быть 
использованы с этими вариантами атаки. 

Если вам не нужна установка полезной нагрузки, вы можете отключить ее. Установите 
параметр Ьо8і_8іа§е в вашем профиле МаІІеаЫе С2 значение Мзе. Это предотвратит 
размещение этапов полезной нагрузки СоЬаІІ 8ігіке на своих веб-и ЭХ8-серверах. Есть 
большая выгода для Службы безопасности, чтобы делать это. С помощью 8Іа§іп§ любой 
пользователь может подключиться к вашему серверу, запросить полезную нагрузку и 
проанализировать ее содержимое, чтобы найти информацию из конфигурации полезной 
нагрузки. 

В СоЬаЙ 8иіке 4.0 и более поздних версиях действия пост-эксплуатации и бокового 
смещения избегают 8Ш§еі'8 и предпочитают доставлять полную полезную нагрузку, где 
это возможно. Если вы отключаете этапирование полезной нагрузки, вы не заметите 
этого, пока вы не будете готовы к пост-эксплуатации. 

4.5 НТТР Веасоп и НТТР5 Веасоп 

Веасоп НТТР и НТТР8 загружайі задачи с запросом НТТР ОЕТ. Веасоп отправляет 
данные обратно с запросом НТТР Р08Т. Это значение по умолчанию. Вы обладаете 
невероятным контролем над поведением и индикаторами в этой полезной нагрузке с 
помощью МаІІеаЫе С2 

Чтобы установить перехватчик Веасоп НТТР или НТТР8, перейдите в раздел СоЬаІІ 
8ігіке - > ЬІ8Іепег8. Нажмите Кнопку Асісі. Выберите Веасоп НТТР в качестве опции 
полезной нагрузки. 
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Рисунок 19. Параметры Ыір-Веасоп 

Нажмите [ + ], чтобы добавить один или несколько хостов для НТТР-Веасоп . Нажмите 
[ - ], чтобы удалить один или несколько хостов. Нажмите [X], чтобы очистить текущие 
хосты. Если у вас несколько хостов, вы все равно можете вставить разделенный запятыми 
список хостов для обратной связи в это диалоговое окно. Это нормально. 

Поле Мір Но8І (8іа§ег) управляет хостом Іійр 8іа§ег для НТТР-Веасоп. Это значение 
используется только в том случае, если вы связываете эту полезную нагрузку с атакой, 
требующей явного стейджера. 

В поле Ргойіе (профиль) выбирается вариант профиля МаІІеаЫе С2. Ѵагіаій-это 
способ указания нескольких вариантов профиля в одном файле. С ѵагіаійз, каждый 
перехватчик НТТР или НТТР8, который вы настраиваете, может иметь различные 
индикаторы сети. 

Поле НТТР Рогі (С2) задает порт, к которому будет обращаться ваш НТТР-Веасоп. 

Поле НТТР(Віпсі) указывает порт, к которому будет привязан веб-сервер полезной 
нагрузки НТТР-Веасоп. Эти параметры полезны, если вы хотите настроить 
редиректоры гибки портов (например, редиректор, который принимает соединения на 
порту 80 или 443, но направляет соединение на ваш командный сервер на другом 
порту). 

Значение НТТР Но$1 Неагіег, если оно указано, передается в ваши Ьйр-8І:а§ег8 и через 
ваш НТТР-канал связи. Эта опция позволяет использовать преимущества сіошаіп 
&опйп§ с Собак Зйіке. 

Нажмите кнопку ... рядом с полем Ргоху НТТР, чтобы указать явную 
конфигурацию прокси-сервера для этой полезной нагрузки. 
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Ручная настройка НТТР прокси 

Диалоговое окно Мапиаі Ргоху 8еШп§8 предлагает несколько опций для управления 
конфигурацией прокси-сервера для запросов НТТР и НТТР8 Веасоп. По умолчанию 
Веасоп использует конфигурацию прокси-сервера Іпіегпеі Ехріогег для текущего 
процесса / пользователя. 

В поле Туре настраивается тип прокси-сервера. Поля Нозі и Рогі сообщают Веасоп, где 
находится прокси. Поля Іівегпате и Ра«8\ѵогД являются необязательными. В этих полях 
указываются учетные данные, используемые Веасоп для аутентификации на прокси- 
сервере. 



Рисунок 20. Ручная Настройка Прокси-Сервера 

Установите флажок на і§поге ргоху яеПіпрх; ше сіігесі соппесііоп, чтобы заставить Веасоп 
выполнять запросы НТТР и НТТР8 без использования прокси-сервера. 

Нажмите 8еі, чтобы обновить диалоговое окно Веасоп с требуемыми настройками 
прокси. Нажмите кнопку Кевеі, чтобы вернуть настройку прокси-сервера к по 
умолчанию. 

Примечание: ручная настройка прокси-сервера влияет только на этапы загрузки Веасоп 
НТТР и НТТР8. Она не распространяется на 8Іа§ег8 полезной нагрузки. 

Редиректоры 

Редиректор-это система, которая находится между сетью вашей цели и вашим 
командным сервером. Все соединения, поступающие к редиректору, пересылаются на 
командный сервер для обработки. Редиректор-это способ предоставить несколько 
хостов для ваших полезных нагрузок Веасоп, чтобы отправить запрос домой. 

Редиректор также помогает в обеспечении оперативной безопасности, поскольку он 
затрудняет отслеживание истинного местоположения командного сервера. 

Функции управления перехватчиками Собак 8ітіке поддерживают использование 
редиректоров. Просто укажите хосты редиректоров при настройке перехватчика Веасоп 
НТТР или НТТР8. Собак 8піке не подтверждает эту информацию. Если 
предоставляемый вами хост не связан с текущим хостом, Собак 8йтке предполагает, что 
это перенаправитель. Один из простых способов превратить сервер в редиректор- 
использовать зосаі. 
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Вот синтаксис зосаі для пересылки всех соединений по порту 80 на сервер 
команды в 192.168.12.100 по порту 80: 

зосаѣ ТСР4-Ы5ТЕЫ: 80, іогк ТСР4:192.168.12.100:80 

4.6 Веасоп 

БЫ8 Веасоп - это любимая функция СоЬаІІ Зігіке. Эта полезная нагрузка использует 
запросы Б18Г8 для Веасоп обратно к вам. Эти запросы БЫ8 являются поисками по 
доменам, для которых ваш сервер СоЬаІІ Зігіке является авторитетным. Ответ БЫ8 
говорит Веасоп перейти в спящий режим или подключиться к вам для загрузки задач. 
Ответ Б18Г8 также сообщит Веасоп, как загружать задачи с вашего командного сервера. 



РВ0РІІ-Е5.І-05ЕМ01-0ѴЕ.С0М 

( та!ѵѵагес2 . Іозе поіо ѵе . сот) 


Рисунок 21. БХ8 Веасоп в действии 


В СоЬаІІ Зігіке 4.0 и более поздних версиях БЫ8 Веасоп является полезной 
нагрузкой только для Б1ЧГ8. В этой полезной нагрузке отсутствует режим НТТР- 
связи. Это изменение по сравнению с предыдущими версиями продукта. 


Каналы данных 

Сегодня БИ8 Веасоп может загружать задачи через БЫ8 ТХТ-заииси, БЫ8 АААА-записи 
или Б1Ч8 А-записи. Эта полезная нагрузка обладает гибкостью для переключения между 
этими каналами данных, пока она находится на цели. Используйте команду тойе Веасоп 
для изменения канала передачи данных текущего Маяка, тойе гіиз это канал записи 
данных Б1ЧГ8 А. режим сіпзб - это канал записи БЫ8 АААА. И, режим с1п$-ІхІ-это канал 
записи данных Б1Ч8 ТХТ. По умолчанию используется канал записи данных БЫ8 ТХТ. 
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Имейте в виду, что Б1Ч8 Веасоп не начнет работу, пока не будет доступной задачи. 
Используйте команду сЬескіп, чтобы запросить регистрацию Б1Ч8 Веасоп при 
следующем вызове домой. 
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Настройка перехватчика 

Чтобы создать перехватчик БЫ8 Веасоп: перейдите в Собак 8ігіке - > ЬІ8іепег8, 
нажмите А<М и выберите Веасоп БЫ8 в качестве типа полезной нагрузки. 



Рисунок 22. Настройка БК8 Веасоп 

Нажмите [ + ], чтобы добавить один или несколько доменов в Ьеасоп. Ваша система 
командных серверов Собак Зігіке должна быть авторитетной для указанных вами 
доменов. Создайте запись ЭЫЗ А и направьте ее на сервер Собак Зігіке Іеат. 
Используйте записи БЫ8 N8 для делегирования нескольких доменов или поддоменов в 
запись командного сервера Собак 8кіке. 

Поле Ное! (8іа§ег) настраивает 8Іа§ег записи Ш БЫ8 Веасоп. Этот 8І:а§ег 
используется только с функциями Собак 8кіке, которые требуют явного 8Іа§ег. Ваша 
система командных серверов Собак 8іхіке также должна быть авторитетной для этого 
домена. 

Чтобы проверить конфигурацию БМ8, откройте терминал и введите пвіоокир рЬбегкб. 
домен Веасоп. Если вы получаете ответ на запись 0.0.0.0-значит, ваш БЫ 8 настроен 
правильно. Если вы не получите ответа, то ваша конфигурация БЫ8 не является 
правильной, и Веасоп БЫ8 не будет связываться с вами. 

Убедитесь, что записи БМ8 ссылаются на основной адрес сетевого интерфейса. ЭЫ8- 
сервер Собак 8кіке всегда будет отправлять ответы с основного адреса вашего сетевого 
интерфейса. БЫ8-распознаватели обычно отбрасывают ответы, когда запрашивают 
информацию с одного сервера, но получают ответ с другого. 
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Если вы находитесь за устройством МАТ, убедитесь, что вы используете свой публичный 
ІР-адрес для записи N8 и установите брандмауэр для пересылки ІГОР-трафика на порт 53 
в вашу систему. Собак 8кіке включает в себя ЭЫ 8-сервер для управления Веасоп. 

4.7 5МВ Веасоп 

8МВ Веасоп использует именованные каналы для связи через родительский Веасоп. Эта 
одноранговая связь работает с Веасоп на одном и том же хосте. Он также работает по 
всей сети. \ѴІпсІо\ѵ8 инкапсулирует взаимодействие по именованному каналу в протоколе 
8МВ. Отсюда и название-8МВ Веасоп. 

Чтобы настроить полезную нагрузку 8МВ Веасоп, перейдите в Собак 8(тіке - > 
Іл8Іепег$. Нажмите кнопку Асісі. Выберите Веасоп 8МВ в качестве опции полезной 
нагрузки. 



Единственный параметр, связанный с маяком 8МВ, - это имя канала. Можно задать 
явное имя канала или выбрать параметр по умолчанию. 

8МВ Веасоп совместим с большинством действий в Собак 8кіке, которые порождают 
полезную нагрузку. Исключением из этого являются управляемые пользователем атаки 
(например, АНаск$ -> Раскате», А(Даск$ -> \Уеб Огіѵе-бу), которые требуют явных 
5Іа§ег8. 

Действия Собак 8кіке пост-эксплуатации и бокового смещения, которые порождают 
полезную нагрузку, будут пытаться взять на себя управление (связь) с полезной 
нагрузкой 8МВ Веасоп для вас. Если вы запускаете 8МВ-Веасоп вручную, вам нужно 
будет связать его с родительским Веасоп. 

Связывание и разъединение 

Из консоли Веасоп используйте Ипк [Ьозі] [ріре], чтобы связать текущий Веасоп с 8МВ 
Веасоп, ожидающим соединения. Когда текущий Веасоп регистрируется, его связанные 
одноранговые узлы также регистрируются. 

Чтобы слиться с обычным трафиком, связанные Веасоп используют для связи 
именованные каналы \УіпсІо\ѵ8. Этот трафик инкапсулируется в протокол 8МВ. Есть 
несколько предостережений к этому подходу: 

1. Хосты с маяком 5МВ должны принимать соединения через порт 445. 

2. Вы можете связывать Веасоп, управляемые одним и тем же экземпляром Собак 5Чіке. 
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Если вы получаете еггог 5 (ассезз сіепіеё) после попытки связаться с Веасоп: украсть 
маркер пользователя домена или использовать такеіокеп БОМАІМивег ра88\ѵоічі для 
заполнения текущего маркера действительными учетными данными для целевого 
объекта. Попробуйте снова установить связь с Веасоп. 

Для уничтожения связи Веасоп используйте ипііпк [ір аск1гс88| [8е88Іоп РШ] в 
Родительском или дочернем устройстве. Аргумент [зеззіоп РШ] - это идентификатор 
процесса Веасоп, который нужно разорвать. Это значение используется при указании 
конкретного Веасоп для отключения связи, когда имеется несколько дочерних Веасоп. 

Когда вы отключаете связь с 8МВ Веасоп, он не выходит и не уходит. Вместо этого он 
переходит в состояние ожидания соединения с другим Веасоп. Вы можете использовать 
команду Ііпк для возобновления управления 8МВ Веасоп с другого Веасоп в будущем. 

4.8 ТСР Веасоп 

ТСР Веасоп использует сокет ТСР для связи через родительский Веасоп. Эта 
одноранговая связь работает с Веасопз на том же хосте и по всей сети. 


Сгеаіе а Іізіепег. 


Меѵѵ І_І5і:епег 


Ф _ П X 


Ыате: |іср 4444 
РауІоасІ: ІВеасопТСР 
Рауіоасі Орііопб 
РоіТ (С2): |4444 

П Віпсі Іо ІосаІИозІ опіу 


Рисунок 24. ТСР Веасоп 

Чтобы настроить полезную нагрузку ТСР Веасоп, перейдите к СоЬаЬ 8ігіке - > 

ІЛ8Іепег8. Нажмите Кнопку Асісі. Выберите Веасоп ТСР в качестве опции полезной 
нагрузки. 

ТСР Веасоп, настроенный таким образом, является привязанной полезной нагрузкой. 

Привязанная полезная нагрузка это та, которая ожидает соединения от своего 
контроллера (в данном случае другого сеанса Веасоп). Параметр Рогі (С2) управляет 
портом, на котором ТСР Веасоп будет ожидать соединения. Проверьте привязку к 
ІосаІЬозІ только для того, чтобы иметь привязку ТСР Веасоп к 127.0.0.1, когда он 
прослушивает соединение. Это хороший вариант, если вы используете ТСР Веасоп 
только для действий ІосаІЬозІ. 

ТСР Веасоп совместим с большинством действий в СоЬаЬ 8ігіке, которые создают 
полезную нагрузку. Исключением из этого являются, похожий на 8МВ Веасоп, 
пользовательская атака (АЬаскв - > Раска«ез, АЬаскз -> \УеЬ Бгіѵе-Ъу), которые 
требуют явных §1а§ег8. 

Действия СоЬаЬ 8ігіке пост-эксплуатации и бокового смещения, которые порождают 
полезную нагрузку, будут пытаться взять на себя управление (подключение) полезной 
нагрузкой ТСР Веасоп для вас. Если вы запускаете ТСР Веасоп вручную, вам нужно 
будет подключиться к нему с родительского Веасоп. 
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Подключение и разъединение 

В консоли Веасоп используйте команду соппесі [ір аййгевв] [рогі] для подключения 
текущего сеанса к Веасоп ТСР, ожидающему подключения. Когда текущий сеанс 
регистрируется, его связанные одноранговые узлы также регистрируются. 

Для уничтожения связи Веасоп используйте ипііпк [ір аййге88] |$е$$іоп РГО] в консоли 
родительского или дочернего сеанса. Позже вы можете повторно подключиться к 
Веасоп ТСР с того же хоста (или другого хоста). 

4.9 Внеіший С2 

Внешний С2-это спецификация, позволяющая сторонним программам выступать в 
качестве коммуникационного уровня для полезной нагрузки Веасоп СоЬаЙ Зігіке. Эти 
сторонние программы подключаются к С'оЬаЙ 8ігіке для чтения кадров, 
предназначенных для, и записи кадров с выходом из полезных нагрузок, управляемых 
таким образом. Внешний сервер С2-это то, что эти сторонние программы используют 
для взаимодействия с вашим командным сервером СоЬаЙ 8ігіке. 

Перейдите в СоЪаІі 8(тіке - > Ілвіепегв, нажмите Асій и выберите Ехіегпаі С2 в качестве полезной 
нагрузки. 


К 

Сгеаііе а Ііз^епег. 


Меѵѵ ЫбГепег 


Ыате: |[ехЕс2І 
РауІоасІ: 

Рауіоасі 
Роге (ВІПСІ): 12222 

П ВіпсІ Ъэ ІосаІЬозІ: опіу 


ЕхСегпаІ С2 
Орііопе 


Рі§иге 25. Внешний С2 

Внешний интерфейс С2 имеет два варианта. Рогі (Віпй) указывает порт, на котором 
внешний сервер С2 ожидает подключения. Установите флажок Ыпсі іо ІосаИюяі опіу , 
чтобы сделать внешний сервер С2 Іосаійозі-опіу. 

Внешние перехватчики С2 не похожи на другие перехватчики СоЪаК 8ігіке. Вы не 
можете нацелить их на пост-эксплуатацию СоЬаЙ 8ігіке. Эта опция-просто удобство. 

Чтобы узнать больше о внешнем С2, посетите документацию по адресу: 

1іЦр5://\ѵ\ѵ\ѵ.соЬа11:5І:гіке.сот/1іе1р-ехІ:егпа1с2 
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4.10 Чужіе перехватчики 

Собак 8кіке поддерживает концепцию чужих перехватчиков. Это псевдонимы для 
обработчиков полезной нагрузки х86, размещенных в платформе Меіазріок или 
других экземплярах Собак 8кіке. Чтобы передать сеанс \Ѵіпс1о\ѵ8 НТТР8 Меіегргеіег 
другу с тз&ошоіе, настройте внешнюю полезную нагрузку НТТР8 и укажите 
значения Хоста и порта в их обработчике. Вы можете использовать чужие 
перехватчики везде, где вы используете х86 Собак 8ігіке Іізіепег. 

4.11 Консолидация Инфраструктуры 

Модель Собак 8кіке для распределенных операций состоит в том, чтобы выделять 
отдельный сервер команды для каждой фазы вашего взаимодействия. Например, имеет 
смысл разделить инфраструктуру пост-эксплуатации и персистентности. Если 
обнаруживается действие пост-эксплуатации, а вы не хотите, чтобы изменение этой 
инфраструктуры очистило обратные вызовы, которые позволят вам вернуться в сеть. 

Некоторые фазы взаимодействия требуют нескольких вариантов перенаправления и 
канала связи. Собак 8кіке 4.0 хорошо относится к этому. 



Рисунок 26. Возможности Консолидации Инфраструктуры 

Вы можете привязать несколько перехватчиков НТТР, НТТР8 и БЫ8 к одному 
командному серверу Собак 8кіке. Эти полезные нагрузки также поддерживают рок 
бепсІіп§ в своей конфигурации. Это позволяет использовать общий порт для вашего 
канала (80, 443 или 53) в настройках гесіігесіог и С2, но привязывать эти перехватчики к 
разным портам, чтобы избежать конфликтов портов в системе вашего командного 
сервера. 
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Чтобы придать разнообразие вашим сетевым индикаторам, профили МаІІеаЫе Собак 
8йтке С2 могут содержать несколько вариантов. Вариант-это способ добавления 
вариаций текущего профиля в один файл профиля. При определении каждого 
перехватчика Веасоп НТТР или НТТР8 можно указать вариант профиля. 

Кроме того, можно определить несколько ТСР-и 8МВ Веасоп'з на одном командном 
сервере, каждый с различными конфигурациями канала и порта. Любой выходной Веасоп 
с того же командного сервера может управлять любой из этих полезных нагрузок ТСР 
или 8МВ Веасоп после их развертывания в целевой среде. 

4.12 Функции безопасности полезной нагрузки 

Собак 8ітіке предпринимает шаги для защиты связи с Веасоп и обеспечения того, чтобы 
Веасоп мог только получать задачи от своего командного сервера и отправлять выходные 
данные на него. 

Когда вы устанавливаете полезную нагрузку Веасоп в первый раз, Собак 8йіке 
генерирует пару открытых/закрытых ключей, которые уникальны для вашего 
командного сервера. Открытый ключ сервера команды встроен в этап полезной 
нагрузки Веасоп. Веасоп использует открытый ключ командного сервера для 
шифрования метаданных сессии, которые он посылает на сервер команду. 

Веасоп всегда должен отправлять метаданные сеанса, прежде чем командный сервер 
сможет выдавать задачи и получать выходные данные из сеанса Веасоп. Эти метаданные 
содержат случайный ключ сеанса, сгенерированный этим Веасоп. Командный сервер 
использует сеансовый ключ каждого Веасоп для шифрования задач и расшифровки 
выходных данных. 

Каждая реализация Веасоп и канал передачи данных использует эту же схему. У вас есть 
такая же безопасность с каналом записи данных в гибридном НТТР и БН8 Веасоп, как и с 
Веасоп НТТР8. 

Имейте в виду, что вышесказанное относится к Веасоп как только он установлен. 

8Га§егз полезной нагрузки, из-за их размера, не имеют встроенных функций 
безопасности. 
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5. Получение точки опоры 

5.1 Профилировщик клиентской системы 

Системный профилировщик-это инструмент разведки для атак на стороне клиента. Этот 
инструмент запускает локальный веб-сервер и получает йп§егргіпі§ любого посетителя. 

Системный профилировщик предоставляет список приложений и плагинов, которые он 
обнаруживает через браузер пользователя. Системный профилировщик также пытается 
обнаружить внутренний ІР-адрес пользователей, пользующихся прокси-сервером. 

Чтобы запустить системный профилировщик, перейдите в раздел А1іаск$ - > \УеЪ 
Бгіѵе-Ьу - > Зузіет РгоШег. 

Для запуска профилировщика необходимо указать ІЖІ для привязки и порт для запуска 
веб-сервера СоЬаЙ Зігіке. 

Если вы укажете ШИ редирект СоЬаЙ Зіхіке перенаправит посетителей на этот ІЖЬ, как 
только их профиль будет принят. Нажмите кнопку ЬаипсЬ, чтобы запустить системный 
профилировщик. 

Профилировщик использует неподписанный апплет Іаѵа, чтобы прочитать внутренний ІР 
адрес и определить, какая версия .Іаѵа у цели. С помощью функции безопасности Іаѵа 
сііск-іо-гип-это может вызвать подозрение. Снимите флажок те іаѵа Арріеі іо §еі 
іп/огтаііоп, чтобы удалить .Іаѵа -апплет из системного профилировщика. 

Установите флажок ЕпаЫе 88Ь для обслуживания системного профилировщика через 
ЗЗЬ. Это поле отключено, если вы не укажете действительный ЗЗЬ-сертификат с 
МаІІеаЫе С2. Об этом говорится в главе 11. 

Чтобы просмотреть результаты работы системного профилировщика, перейдите в меню 
Ѵіетѵ - > Арріісаііопз. СоЬаЙ Зіхіке перечислит все приложения, обнаруженные в 
процессе профилирования системы. 

5.2 СоЬаЙ зігіке веб сервисы 

Многие функции СоЬаЙ Зіхіке запускаются с собственного веб-сервера. Эти службы 
включают системный профилировщик, Ьйр Веасоп и веб-атаки СоЬаЙ Зіхіке. Это 
нормально, разместить несколько функций СоЬаЙ Зігіке на одном веб-сервере. 

Чтобы управлять веб-службами СоЬаЙ Зіхіке, перейдите в меню Ѵіе\ѵ - > \ѴеЬ Бгіѵе-Ьу 
- > Мапа§е. Здесь вы можете скопировать любой ІЖЬ-адрес СоЬаЙ Зігіке в буфер 
обмена или остановить веб-службу СоЬаЙ Зігіке. 

Используйте Ѵіе\ѵ - > \УеЪ Ьо§ для отслеживания посещений веб-служб СоЬаЙ Зігіке. 

Если веб-сервер СоЬаЙ Зігіке видит запрос от браузера йупх, \Ѵ§е1 или Сигі, СоЬаЙ Зігіке 
автоматически возвращает страницу 404. СоЬаЙ Зігіке делает это в качестве легкой 
защиты от слежки Ыие іеаш.. 

5.3 Пакеты атак, запускаемые пользователем 

Лучшие атаки - это не эксплойты. Скорее, лучшие атаки используют преимущества 
обычных функций для выполнения кода. СоЬаЙ Зігіке позволяет легко настроить 
несколько пользовательских атак. Эти атаки используют перехватчики, которые вы уже 
настроили. Перейдите в раздел Аііаскз - > Раска§е$ и выберите один из следующих 
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НТМІ. Приложение 

НТМЬ-приложение-это программа для \Уіпс1о\ѵз, написанная на языке НТМЙ и 
поддерживаемом Іпіетеі Ехріогег языке сценариев. Этот пакет генерирует НТМЬ- 
приложение, которое запускает полезную нагрузку СоЬаЙ 8ігіке. Вы можете выбрать 
опцию ЕхесиІаЫе, чтобы получить НТМЕ-приложение, которое сбрасывает 
исполняемый файл на диск и запускает его. Выберите параметр Ро\ѵег8Ье11, чтобы 
получить НТМЕ-приложение, использующее Ро\ѵег81іе11 для запуска полезных данных. 
Используйте опцию ѴВА, чтобы автоматически создать экземпляр Місгозой Ехсеі и 
запустить вредоносный макрос, который вводит полезную нагрузку в память. 

М5 Ойісе Макрос 

Этот пакет генерирует макрос Місгозой ОШсе и предоставляет инструкции по 
встраиванию макроса в Місгозой \Ѵогс1 или Місгозой Ехсеі. 

Генератор полезной нагрузки 

Этот пакет позволяет экспортировать зіа§егз СоЬаЙ 8йіке в различных 
форматах. 

Исполняемый Файл Ѵ\/іпсіоѵѵ$ 

Этот пакет генерирует приложение ^іпйоѵѵз, которое обеспечивает сборку 
полезной нагрузки. Этот пакет предоставляет вам несколько вариантов вывода. 

\Ѵіпс1о\ѵз ЕХЕ-это исполняемый файл \Ѵіпсіо\ѵз. 

\Уіік1о\\з 8егѵісе ЕХЕ-это исполняемый файл \Ѵіпёо\ѵз, который отвечает на 
команды диспетчера управления службами. Вы можете использовать этот 
исполняемый файл для создания службы ^іпйолѵз с зс или как пользовательский 
исполняемый файл с модулями РзЕхес платформы Меіазріоіі. 

\Ѵіпйо\ѵз БIX (32-Ьіі) это х86 \Ѵіпс1о\ѵз ЭЕЙ. 

Библиотека БІХ ѴѴіікіоѵѵз (64-разрядная) - это 64-разрядная библиотека БЕЙ 
\ѴіпсІо\ѵ8. Эта библиотека Бйй создает 32-разрядный процесс и перенесет в него ваш 
перехватчик. Оба варианта БЙЙ экспортируют функцию запуска, совместимую с 
гшк11132.ехе. Используйте птсШ32.ехе для загрузки библиотеки Бйй из командной 
строки. 

ГШ1СІ1132 {оо.сНІ^-Ьаг-Ь 

Установите флажок ІІ8е х64 рауіоасі для создания артефактов х64, которые сопрягаются со зіа§ег 
х64. 

Установите флажок 8і§п ехесиіаЫе Ше, чтобы подписать приложение ЕХЕ или 
Бйй с помощью сертификата подписи кода. Вы должны указать сертификат в 
профиле МаІІеаЫе С2. 

Исполняемый файл Ѵ\/іпсІоѵѵ$(5) 

Этот пакет экспортирует Веасоп, без зіа§ег, как исполняемый файл, служебный 
исполняемый файл, 32-разрядную БЕЙ или 64-разрядную Бйй. Приложение полезной 
нагрузки, не использующий зіа§ег, называется бесступенчатым приложением. Этот пакет 
также имеет опцию Ро\ѵег8Ье11 для экспорта Веасоп в виде сценария Ро\ѵег81іе11 и 
необработанную опцию для экспорта Ьеасоп в виде большого двоичного объекта кода, не 
зависящего от позиции. 


По умолчанию это диалоговое окно экспортирует этапы полезной нагрузки х86. 

Установите флажок ЕІзе х64 , чтобы создать этап х64.. іа(0>5 Бг Воок 
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Установите флажок $і§п ехесиіаЫе Ше, чтобы подписать приложение ЕХЕ или 
БЕЕ с помощью сертификата подписи кода. 

5.4 Размещение файлов 

Веб- сервер Собак 8іхіке может разместить ваши пользовательские пакеты. Перейдите к 
АИаск» - > \ѴеЬ Огіѵе-Ьу - > Но$1 Гііе, чтобы настроить это. Выберите файл для 
размещения, выберите произвольный ІЖЬ- адрес и выберите тип тіте для файла. 

Сама по себе возможность размещения файла не очень впечатляет. Однако через 
мгновение вы узнаете, как встроить ИКЬ-адреса Собак 8ігіке в фишинговое письмо зреаг. 
Когда вы сделаете это, Собак 8іхіке может перекрестно ссылаться на посетителей вашего 
файла с отправленными электронными письмами и включать эту информацию в отчет по 
социальной инженерии. 

5.5 Пользовательские ѵѵеЬ сІгіѵе-Ьу Атаки 

Собак 8кіке предоставляет вам несколько инструментов для настройки \ѵеЪ ёгіѵе-Ьу атак. 
Чтобы быстро начать атаку, перейдите в раздел Айаскз - > \ѴеЬ Бгіѵе-бу и выберите 
нужный вариант. 

.Іаѵа Апплет Атака 

Эта атака запускает веб- сервер, на котором размещается самоподписанный Іаѵа- апплет. 
Посетителей просят дать апплету разрешение на запуск. Когда посетитель предоставляет 
это разрешение, вы получаете доступ к его системе. 

Атака Іаѵа апплет с подписью использует Іаѵа инжектор Собак 8ігіке. В \Ѵіпс1о\ѵз, Іаѵа 
инжектор будет вводить зііеіісосіе для перехватчика \Уіпс1о\ѵз непосредственно в память 
для вас. 

Чтобы получить максимальную отдачу от этой атаки, вам нужно будет загрузить 
набор апплетов из арсенала Собак 8йіке и подписать его сертификатом подписи кода. 

.Іаѵа Зтагі Апплет Атака 

8пзаЧ Арріеі атака Собак 8ігіке объединяет несколько эксплойтов для отключения 
безопасной среды Іаѵа в один пакет. Эта атака запускает веб- сервер, на котором 
размещается Іаѵа апплет. Изначально этот апплет работает в безопасной песочнице 
Іаѵа и не требует одобрения пользователя для запуска. 

Апплет анализирует свою среду и решает, какой эксплойт Іаѵа использовать. Если 
версия Іаѵа уязвима, апплет отключит песочницу и начнет внедрять полезную нагрузку с 
помощью Іаѵа-инжектора Собак 8чіке. 

Скриптованная Веб-Доствка(Б) 

Эта функция генерирует бесступенчатое приложение полезной нагрузки Веасоп, 
размещает его на веб- сервере Собак 8йіке и представляет собой однострочный файл для 
загрузки и запуска приложения. Параметры: бкзасітіп, рохѵегзкеіі и руйюп збеі 1 и руйюп. 

Параметр бкзасітіп содержит исполняемый файл и использует бкзасіптіп для его 
загрузки. Метод бкзаётіп запускает исполняемый файл через стсі.ехе. Параметр 
ролѵегзбеіі содержит сценарий Ро\ѵег8бе11.ехе и использует его, чтобы загрузить скрипт 
и оценить его. Опция руйюп содержит скрипт Руйюп и использует руйюп.ехе, чтобы 
загрузить скрипт и запустить его. Каждый из этих вариантов- это другой способ запуска 
перехватчика Собак 8піке. 
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5.6 Эксплойты на стороне клиента 

Вы можете использовать Меіазріок Ргашехѵогк , чтобы доставить Веасоп Собак Зігіке. 

Веасоп Собак Зігіке совместим с промежуточным протоколом платформы Меіазріоіі. 

Чтобы доставить Веасоп с помощью эксплойта Меіазріоіі Ргашехѵогк: 

• Используйте тпсіош / теіегргеіег / геѵегзе_ИССр[5] в качестве полезной 
нагрузки и установите ЬНОЗТ и ЬРОКТ, чтобы указать на ваш перехватчик 
Собак Зігіке. Вы на самом деле не доставляете Меіегргеіег здесь, вы говорите 
платформе Меіаэріок генерировать НТТР[$] 5Іа§ег, который загружает 
полезную нагрузку из указанного ЬНОЗТ/ЬРОКТ. 

• Установите ЭізаЫеРауІоасІНапсІІег в Тгие. Это подскажет платформе Меіазріой избегать 

установки обработчика в рамках платформы Меіаэріоіі для обслуживания 
соединения полезной нагрузки. 

• Установите РгерепсІМідгаіе в Тгие. Этот параметр сообщает платформе Меіаэріоіі, что 
она должна предшествовать 

эбеіісосіе, который запускает сборщик полезной нагрузки в другом 
процессе. Это помогает вашему сеансу Веасоп выжить, если 
эксплуатируемое приложение аварийно завершает работу или если оно 
закрыто пользователем. 

Вот скриншот тэісопзоіе, использованного для поддержки Флэш-эксплойта для 
доставки НТТР Веасоп Собак Зігіке, размещенного в 192.168.1.5 на порту 80: 


; тзі > изе ехрІоіІ/тиІІі/Ьгомзег/асІоЬеіІазЬНаскіпдІеатиаі 

тзі ехрІоіЦ ) > зеі РАУЬОАй ѵѵігхіомз/теІегргеІег/геѵегзеМіІр 

зеіРАѴІ_0А0 => ѵѵіпсіомз/теіегргеіег/геѵегзеіііір 

тзі ехріоіі( ) > зеі І.Н05Т 192.168.1.5 

І.Н05Т => 192.168.1.5 

щз! ехріоіі( ) > зеі І_Р0ВТ 80 

І_Р(ЖТ => 80 

тзі ехрІоіІ( ) > зеі: ОізаЫеРауІоасЖапсіІег Ігие 

ОізаЫеРауІоасШапсЛег => Ігие 

тзі ехрІоіІ( ) > зеі: РгерепсІМідгаІе Ігие 

РгерепгіМідгаІе => Ігие 

тзі ехріоіі( ) > зеі 5КѴР0РТ 80 

5КѴР0КТ => 80 

тзі ехріоіі( ) > зеі: ІШ 

зеі: ІЖІН05Т зеі: ІШРАТН зеі: 1ШР0КТ 
тзТ ехріоіі( ) > зеі: ІІКІР 

зеі: ІШРАТН зеі: ІШІР0КТ 

тзі ехріоіі( ) > зеі: ІШРаІИ / 

ІШРаіИ => / 

тзі ехріоіі( ) > ехріоіі -] 

[*] Ехріоіі гиппіпд аз Ьаскдгоипгі ]оЬ. 

тзі ехріоіі( ) > [*] Узіпд ОШ: Ыір://0.0.0.0: 80/ 

[*] І_осаІ ІР: П11р://172. 16.14.135:80/ 

[*] 5егѵег зіагіегі. 

тзі ехріоіі( ) > | 


Рисунок 27. Использование клиентских атак из МеіаэрІоК 

5.7 Клонирование сайта 

Перед отправкой эксплойта к цели, он помогает настроить его. Инструмент клонирования 
веб-сайта Собак Зігіке может помочь в этом. Инструмент клонирования веб-сайта создает 
локальную копию веб-сайта с некоторым кодом, добавленным для исправления ссылок и 
изображений, чтобы они работали должным образом. 

Чтобы клонировать сайт, перейдите в Аііаскэ -> \УеЪ Игіѵе-Ьу -> Сіоие 8ке. 
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Можно встроить атаку в клонированный сайт. Напишите ЕГКЬ-адрес вашей атаки в 
поле ЕтЬесІ, и СоЬаЙ Зігіке добавит его на клонированный сайт с помощью ІРКАМЕ. 
Нажмите кнопку ... для выбора одного из запущенных эксплойтов на стороне клиента. 


Сіопе 5ііе 


'о'о-і-з 


ТНе зі*е сіопег соріез а хл/еЬзйе апсі йхез {Не сосіе зо 
ітадез ІоасІ, Уои тау асісі ехрІоі{5 Іо сіопесі зіііез ог 


Сіопе СІКІ_: [ Ьі;1:р ://\ллллл/.дтаіI.с от/ 
1_осаІ СІКІ: [/ 

1_осаІ Нозі: |\ллллллеѵіІдтаіІ.сот 

І_осаІ РогЬ: [ѳо 

АМаск: 

ІЙ І_од кеузігокез оп сіопесі зйе; 


ы 


Сіопе 


Неір 


Рисунок 28. Инструмент клонирования вебсайта 

Клонированные веб-сайты также могут захватывать нажатия клавиш. Установите 
флажок Іо§ кеузігокез оп сіопесі зііе. Это позволит вставить регистратор ключей 
ІаѵаЗсгірІ: в клонированный сайт. 

Чтобы просмотреть зарегистрированные нажатия клавиш или увидеть посетителей вашего 
клонированного сайта, перейдите в меню Ѵіе\ѵ - > \УеЪ Ьо§. 

5.8 Целевой фишинг 
Цели 

Теперь, когда у вас есть понимание атаки со стороны клиента, давайте поговорим о том, 
как сделать атаку на пользователя. Наиболее распространенный способ проникновения в 
сеть организации - это зреаг РІ8Ітіп§. 

Перед отправкой фишингового сообщения необходимо составить список целей. СоЬаЙ 
Зйіке ожидает цели в текстовом файле. Каждая строка файла содержит одну цель. Целью 
может быть адрес электронной почты. Вы также можете использовать адрес электронной 
почты, вкладку и имя. Если это предусмотрено, имя помогает СоЬаЙ 8Ггіке настроить 
каждого фиша. 

Шаблоны 

Далее вам понадобится фишинговый шаблон. Хорошая вещь о шаблонах заключается в 
том, что вы можете повторно использовать их между занятиями. СоЬаЙ 8йіке 
использует сохраненные сообщения электронной почты в качестве шаблонов. СоЬаЙ 
8йіке будет удалять вложения, решать проблемы с кодированием и переписывать 
каждый шаблон для каждой фишинг-атаки. 

Если вы хотите создать пользовательский шаблон, создайте сообщение и отправьте его 
себе. У большинства почтовых клиентов есть способ получить исходный источник 
сообщения. В Отаіі нажмите стрелку вниз рядом с пунктом Керіу и 81ю\\ огі§іпа1. 
Сохраните это сообщение в файл и поздравьте себя—вы создали свой первый 
фишинговый шаблон СоЬаЙ 8йіке. 
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Вы можете настроить свой шаблон с помощью токенов Собак 8кіке. Собак 8кіке заменяет 
следующие маркеры в ваших шаблонах: 


1 Токеп 

Описание 

%То% 

Адрес электронной почты человека, которому отправляется сообщение 

%То №ітс% 

Имя человека, которому отправляется сообщение. 

%ШѴУо 

Содержимое поля ЕтЪеб ІЖЬ в диалоговом окне §реаг рЬІ8Ып§. 


Отправление сооби$ний 

Теперь, когда у вас есть цели и шаблон, вы готовы к фишингу. Чтобы запустить 
инструмент для зреаг рЬізІтііщ, перейдите в раздел АНаскз -> 8реаг РЫвЬ. 



Рисунок 29. Инструмент 8реаг РЫ$Ып§ 

Чтобы отправить фишинговое сообщение, вы должны сначала импортировать свои 
цели. Щелкните папку рядом с полем Таг§еІз, чтобы импортировать файл цели. 

Затем выберите файл шаблона. Нажмите на папку рядом с полем Тетріаіе, чтобы выбрать один из 
них. 

Теперь у вас есть возможность прикрепить файл, если вы хотите . Это прекрасное 
время для использования одного из пакетов социальной инженерии, рассмотренных 
ранее. Собак 8кіке добавит ваше вложение в исходящее фишинговое сообщение. 

Вы также можете попросить Собак 8кіке переписать все ІЖЬ-адреса в шаблоне с ІЖЬ- 
адресом по вашему выбору. Вставьте ІЖЬ-адрес или нажмите ... чтобы выбрать один из 
инструментов, размещенных в Собак 8кіке. Инструменты Собак 8кіке включают 
клонированные веб-сайты, сервер автоматического эксплойта и системный 
профилировщик. 

Когда вы вставляете ІЖЬ, Собак Зйіке прикрепит ?ісі= % ТОКЕЫ% к нему. Каждое 
отправленное сообщение получит свой собственный маркер. Собак 8кіке использует этот 
маркер для отображения посетителей веб-сайта на отправленные электронные письма. 

Если вы заботитесь об отчетности, не забудьте сохранить это значение. 
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Установите почтовый сервер на открытую ретрансляцию или запись почтового обмена 
для вашей цели. При необходимости вы также можете пройти аутентификацию на 
почтовом сервере для отправки фишинговых сообщений. 

Нажмите кнопку ... рядом с полем Май 8егѵег, чтобы настроить дополнительные 
параметры сервера. Вы можете указать имя пользователя и пароль для аутентификации. 
Опция случайной задержки говорит СоЬаЙ Зйіке случайным образом задерживать каждое 
сообщение на случайное время, вплоть до указанного вами количества секунд. Если эта 
опция не установлена, СоЬаН Зйіке не будет задерживать свои сообщения. 



Рисунок 30. Настройка почтового сервера 


Установите Воипсе на адрес электронной почты, на который должны отправляться 
отскочившие сообщения. Это значение не повлияет на сообщение, которое видят ваши 
цели. Нажмите кнопку Ргеѵіеѵѵ, чтобы просмотреть собранное сообщение для одного из 
получателей. Если ргеѵіеѵ/ выглядит хорошо, нажмите 8епй, чтобы выполнить атаку. 

С'оЬаЙ Зйіке отправляет фишинговые сообщения через командный сервер. 
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6. Артифакты полезной нагрузки и уклонение от антивируса 

6.1 Философия 

8каІе§іс СуЬег ЬЬС регулярно получает вопросы, которые связаны с уклонением. Собак 
Зітіке обходит антивирусные продукты? Какие антивирусные продукты он обходит? Как 
часто это проверяется? 

Артефакты по умолчанию из Собак 8йіке, скорее всего, включают большинство 
решений безопасности. Уклонение не является целью продукта С'оЬак 8ітіке по 
умолчанию. Но Собак 8іхіке действительно предлагает гибкость этом вопросе. 

Вы, как оператор, можете изменить исполняемые приложения, БІХ, аррІеЕ и шаблоны 
скриптов, которые Собак Зйіке использует в своих рабочих процессах. Вы также можете 
экспортировать полезную нагрузку Собак Зітіке'з Веасоп в различных форматах, которые 
работают со сторонними инструментами, предназначенными для оказания помощи в 
уклонении от антивирусов. 

В этой главе будут освещены функции Собак 8кіке, которые обеспечивают такую гибкость. 


6.2 Набор Артефактов 

Собак 8йіке использует Агйкасі Кк для создания своих приложений и БІАз. Агйіасі: 
Кк — это основа исходного кода для создания приложений и БІА, которые могут 
уклониться от некоторых антивирусов. 

Теория набора Артефактов 

Традиционные антивирусные продукты используют подписи для выявления известных 
плохих збеіісосіе-ов. Если мы включим наш збеіісосіе в приложение, антивирус 
распознает збеіісосіе и пометит файл как вредоносный. 


Чтобы победить это обнаружение, злоумышленник обычно каким- то образом запутывает 
збеіісосіе и помещает его в двоичный файл . Этот процесс запутывания побеждает 
антивирусные продукты, которые используют простой поиск по строке для 
идентификации вредоносного кода.. 


Многие антивирусы идут еще дальше. Эти антивирусные продукты имитируют 
выполнение вашего исполняемого файла в виртуальной песочнице. С каждым 
эмулируемым шагом выполнения антивирус проверяет наличие известных ошибок в 
эмулируемом пространстве процессов. Если обнаруживается известная ошибка, 
антивирус помечает приложение или БЕЕ как вредоносный. Этот метод побеждает 
многие кодировщики и упаковщики, которые пытаются скрыть известные ошибки от 
антивирусов на основе сигнатур. 


Ответ кобальтового удара на это прост. У песочницы антивируса есть ограничения. Это 
не полная виртуальная машина. Существуют системные модели поведения, которые не 
эмулируются антивирусной песочницей. Набор артефактов представляет собой набор 
исполняемых файлов и ББЕ- шаблонов, которые зависят от некоторого поведения, 
которое антивирус не эмулирует для восстановления зкеіісоёе, расположенного внутри 
двоичного файла. 


Один из методов [см.: згс-сопшюп / буразз-ріре.с в АгШасІ: Кк] генерирует исполняемые 
файлы и библиотеки БББ, которые служат зііеіісосіе для самих себя по именованному 
каналу . Если антивирусная песочница не эмулирует именованные каналы , она не найдет 
известный плохой збеіісосіе. 
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Где набор артефактов не работает 

Конечно, антивирусы могут победить определенные реализации набора артефактов. 

Если поставщик антивируса пишет подписи для используемого вами метода набора 
артефактов, то создаваемые им исполняемые файлы и библиотеки БЕЕ будут пойманы. 
Это начало происходить, со временем, с помощью метода обхода по умолчанию в 
СоЬаЙ 8йіке 2.5 и ниже. Если вы хотите получить максимальную отдачу от набора 
артефактов, вы будете использовать один из его методов в качестве основы для 
создания своей собственной реализации набора артефактов. 

Но даже этого недостаточно. Некоторые антивирусы обращаются к серверам 
поставщика антивирусов. Там поставщик определяет, является ли исполняемый файл 
или БЬЕ известным хорошим или неизвестным, никогда ранее не виденным, 
исполняемым или БЕЕ. Некоторые из этих продуктов автоматически отправляют 
неизвестные исполняемые файлы и библиотеки БЕ И поставщику для дальнейшего 
анализа и предупреждения пользователей. Другие рассматривают неизвестные 
исполняемые файлы и библиотеки БЕЕ как вредоносные. Это зависит от продукта и его 
настроек. 

Дело в том, что никакое количество “запутывания” не поможет вам в этой ситуации. Вы 
столкнулись с другим видом защиты, и вам нужно будет обойти его соответствующим 
образом. Рассматривайте эти ситуации так же, как вы рассматривали бы белый список 
приложений. Попробуйте найти известную хорошую программу (например, рохѵегзйеіі), 
которая поместит ваш загрузочный модуль в память. 

Как использовать набор Артефактов 

Перейдите в раздел Неір - > Агзеиаі от лицензированного СоЬаЙ 8йіке, чтобы загрузить 
набор артефактов. Вы также можете получить доступ к Арсеналу непосредственно по 
адресу: 

1ійрз://\ѵ\ѵ\ѵ.соЬаЙзиіке.сот/8сгір(:з 

8йа1;е§іс СуЬег ЕЕС распространяет набор артефактов как файл і§г. Используйте 
команду іаг, чтобы извлечь его. Набор артефактов включает в себя ЬиіІсІ.зЬ сценарий. 
Запустите этот сценарий на Каіі Еіпих, без аргументов, чтобы построить методы набора 
артефактов по умолчанию с минимальным ОЫЕІ для \ѴіпсІо\У8. 


.і:~/агЬгГас±# Із 

ЬиіІсЕзІі сіізі-ріре сЛз1-±етр1а±е зсгірТ .ехатріе згс-таіп 

сіізѣ-реек сіізі:-геасйііе КЕАЬМЕ. ЕхЕ 5гс-соттоп 

.і:~/аг±і1ас1:# ./ЬиіІсЕзЬ 

[+] Уои Ьаѵе а х86_64 тіпдѵ/--І мііі гесотрііе ■ЬЬе агАі’Рас’Ьз 
[*] Кесотрііе аг‘Ьі‘РасЬ32 .сііі ѵ/іАЬ згс-соттоп/Ьуразз-ріре ,с 
Ѵ/агпіпд: гезоіѵіпд _0ИСе-ЬС1азз0Ь]ес1: Ьу Ііпкіпд -Со _0ИСе*С1азз0Ь]ес*((1 
12 

ІІзе --епаЬІе-з’ЬсІсаІІ-'Ріхир ±о сІізаЫе ■Ыіезе магпіпдз 
ІІзе --сІізаЫе-з'СсІсаІІ-'Гіхир Ео сІізаЬІе ■ЬИезе Уіхирз 


Рисунок 31. Процесс Сборки Набора Артефактов 

Сценарий сборки набора артефактов создает папку с шаблонными артефактами для 
каждого метода набора артефактов. Чтобы использовать технику с СоЬаЙ 8ігіке, 
перейдите в СоЬаЙ 8(тіке - > 8сгірі Мапа§ег и загрузите аідНжД.спа из папки этой 
техники. 


Вам предлагается изменить набор артефактов и его методы, чтобы они 
соответствовали вашим потребностям. В то время как опытные программистъ 
могут сделать больше с набором артефактов, это вполне осуществимо дл: 
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авантюрного не-программиста для работы с набором артефактов. Например, крупный 
антивирус любит писать подписи для исполняемых файлов в пробной версии Собак 
8кіке каждый раз, когда происходит релиз. Вплоть до Собак Зігіке 2.5, пробная и 
лицензионная версии Собак 8кіке использовали метод пашей ріресі іесбпіцие в своих 
исполняемых файлах и библиотеках БІХ. Этот поставщик напишет подпись для строки 
именованного канала, используемой исполняемым файлом . Уничтожение их сигнатур, 
выпуск за выпуском, было так же просто, как изменение имени ріре в исходном коде 
метода ріре. 

6.3 Зреймэврк уклонения - Ѵеі I 

Ѵеіі - это популярный фреймворк для создания исполняемых файлов, которые проходят 
мимо некоторых антивирусов. Вы можете использовать Ѵеіі, чтобы генерировать 
исполняемые файлы для полезных нагрузок Собак зкіке. Перейдите в раздел Акаска - > 
Раска§е$ - > Рауіоай Сепегаіог. Выберите перехватчик, для которого вы хотите создать 
исполняемый файл . В качестве типа вывода выберите Ѵеіі. Нажмите кнопку Сепегаіе и 
сохраните файл. 

Ьаипсб Йіе Ѵеіі Еѵазіоп Егате\ѵогк апсі сбоозе Йіе іесбпіцие уои \ѵапі Іо ше. Ѵеіі \ѵі11 
еѵепйтііу азк абоиі зЬеІІсоёе. 8е1есі ѴеіГз орііоп Іо зирріу сизіот збеіісосіе. Разіе іп Йіе 
сопіепіз о к Йіе Гііе Собак Зігіке’з рауіоаё §епегаіог таке. Ргезз епіег апсі уои \ѵі11 Ьаѵе а ігезк 
Ѵеіі-тасіе ехесиіабіе. 


Ѵеіі-Еѵазіоп | [Ѵегзіоп] : 2.10.1 

[МеЬ]: біірз ://ѵллѵ. ѵеіІ-'Ргатеѵогк .сот/ | [Тѵіііег]: (аѴеіІРгатеѵюгк 


[?] ІІзе тз'Рѵепот ог зирріу сизбот збеіісосіе? 

1 - тз'Рѵепот (сІе'РаиІІ) 

2 - Сизбот 

[>] Ріеазе епіег Ібе питбег о-р уоиг сбоісе: 2 

[>] Ріеазе епіег сизіот збеіісосіе (опе Ііпе, по диоіез, \х00.. ■рогтаб): 


Риуснок 32. Использование Ѵеіі для создания приложения 

6.4 Атаки .Іаѵа Арріеі 

8каіе§іс Субег ЬЬС распространяет исходный код для атак апплетов Собак 8кіке в виде 
набора апплетов . Это также доступно в арсенале Собак 8кіке. Перейдите в раздел Неір - 
> Агзеиаі и загрузите набор апплетов. 

Используйте включенный бшЫ.зЬ скрипт для сборки Арріеі Кк на Как Ыпих. Многие 
клиенты Собак 8кіке используют эту возможность, чтобы подписывать атаки .Іаѵа- 
апплетов Собак 8кіке купленным ими сертификатом подписи кода . Это очень 
рекомендуется с нашей стороны. 

Чтобы заставить Собак 8кіке использовать ваш набор апплетов поверх 
встроенного, загрузите арріекспа входящий в Арріеі Кк.. 
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На странице Собак 8ігіке Агзепаі вы также заметите апплет Ро\ѵег. Это альтернативная 
реализация атак Іаѵа- апплетов Собак 8ігіке, которая использует Ро\ѵег8Ье11 для загрузки 
полезной нагрузки в память. Апплет Рохѵег демонстрирует гибкость, которую должны 
воссоздать стандартные атаки Собак Зігіке совершенно другим способом и по- прежнему 
использовать их с рабочими процессами Собак 8іхіке. 

Чтобы заставить Собак 8ігіке использовать ваш набор апплетов поверх 
встроенного, загрузите арріекспа входящий в Арріеі Кіі. 

6.5 ТНе Кезоигсе Кіі - Комілект ресурсов 

Кезоигсе Кіі - это средство Собак 8ігіке для изменения шаблонов сценариев НТ А, 
Ро\ѵег8Ье11, Руібоп, ѴВА и ѴВ8, используемых Собак 8ігіке в своих рабочих процессах . 
Опять же , этот набор доступен для лицензированных пользователей в арсенале Собак 
зігіке. Перейдите в меню Неір -> Агзепаі, чтобы загрузить набор ресурсов. 

КЕАОМЕ.ІхІ Пей с набором ресурсов документирует включенные скрипты и функции, 
которые их используют. Чтобы избежать этого продукта, рассмотрите возможность 
изменения строк или поведения в этих сценариях. 

Чтобы заставить Собак 8ігіке использовать ваши шаблоны сценариев поверх 
встроенных шаблонов сценариев, загрузите гезоигсез.спа входящий в Кезоигсе Кіі. 
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7. Пост-эксплуатация 

7.1 Консоль Веасоп 

Щелкните правой кнопкой мыши на сеансе Веасоп и выберите іпіегасі;, чтобы открыть 
консоль этого Веасоп. Консоль- это основной пользовательский интерфейс для сеанса 
работы с Веасоп. Консоль Веасоп позволяет видеть, какие задачи были выданы Веасоп, и 
видеть, когда он их загружает. Консоль Веасоп также является местом, где выводятся 
команды и другая информация. 



Рисунок 33. Консоль СоЬаІі 8ігіке Веасоп 

Между выводом и вводом консоли Веасоп находится строка состояния. Эта строка 
состояния содержит информацию о текущем сеансе. В конфигурации по умолчанию 
строка состояния показывает №®І08- имя цели , имя пользователя и РГО текущего 
сеанса, а также время последней регистрации Веасоп. 

Каждая команда, которая выдается Веасоп, через графический интерфейс или консоль, 
будет отображаться в этом окне. Если товарищ по команде выдает команду, СоЬаЙ 8ітіке 
предварительно зафиксирует команду своим Ьапсііе. 

Вы, вероятно, проведете большую часть времени с СоЬаЙ зітіке в консоли Веасоп. Это 
стоит того , чтобы ознакомиться с его командами. Введите Ьеір в консоли Веасоп, 
чтобы просмотреть доступные команды. Введите Ьеір, а затем имя команды, чтобы 
получить подробную справку. 

7.2 Меню Веасоп 

Щелкните правой кнопкой мыши на Веасоп или внутри консоли Веасоп, чтобы открыть 
меню Веасоп. Это то же меню, которое используется для открытия консоли Веасоп. 
Меню Ассезз содержит параметры для управления доверительными материалами и 
повышения уровня доступа. Меню "Ехріоге" состоит из опций для извлечения 
информации и взаимодействия с системой объекта. В меню Ріѵойп§ можно настроить 
инструменты для туннелирования трафика через Веасоп. Меню 8е§зіоп -это место, где 
вы управляете текущим сеансом Веасоп. 
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Рисунок 34. Меню СоЬаІі 8ігіке Веасоп 

Некоторые визуализации СоЬак Зігіісе (сводный график и таблица сеансов) позволяют 
выбрать несколько Веасоп одновременно. Большинство действий, которые происходят 
через это меню, будут применяться ко всем выбранным сеансам Веасоп. 

7.3 Асинхронные и интерактивные операции 

Имейте в виду, что Веасоп - Это асинхронная полезная нагрузка. Команды не 
выполняются сразу. Каждая команда попадает в очередь. Когда Веасоп зарегистрируется 
(подключится к вам), он загрузит эти команды и выполнит их одну за другой. В это время 
Веасоп также сообщит о любом выводе, который он имеет для вас. Если вы допустили 
ошибку, используйте команду сіеаг, чтобы очистить очередь команд для текущего 
Веасоп. 

По умолчанию Веасоп проверяются каждые шестьдесят секунд. Вы можете изменить это с 
помощью команды Веасоп - зіеер. Используйте зіеер с последующим временем в 
секундах, чтобы указать, как часто Веасоп должен регистрироваться. Вы также можете 
указать второе число между 0 и 99. Это число является фактором изменения. Веасоп будет 
менять время каждый раз, когда он возвращается, на случайный процент, который вы 
указываете в качестве фактора изменения. Например, зіеер 300 20, заставит Веасоп спать в 
течение 300 секунд с процентом изменения 20%. Это означает, что Веасоп будет заспать 
на случайную величину от 240з до ЗООз после каждой регистрации. 

Чтобы сделать проверку Веасоп несколько раз в секунду, попробуйте зіеер 0. Это 
интерактивный режим. В этом режиме команды будут выполняться сразу. Вы должны 
сделать свой Веасоп интерактивным, прежде чем туннелировать трафик через него. 
Несколько команд Веасоп (например, Ьго\ѵзегріѵо1;, сіезкшр и т. д.) автоматически 
переведет Маяк в интерактивный режим при следующей регистрации. 

7.4 Выполняемые команды 

Команда Веасоп - зЬеІІ поручит Веасоп выполнить команду с помощью стсі.ехе на 
скомпрометированном хосте. Когда команда завершится, Веасоп представит Вам 
выходные данные. 

Используйте команду шп ,чтобы выполнить команду без стсі.ехе. Команда пт 
отправит выходные данные вам . Команда ехесиіе запускает программу в фоновом 
режиме и не отправляет выходные данные . 
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Используйте команду ролѵегвЬеІІ для выполнения команды с помощью Ро\ѵег8Ье11 на 
скомпрометированном хосте. Используйте команду ролѵегріск для выполнения сшсііеіз 
Ро\ѵег8бе11 без рохѵегзкеіі.ехе. Эта команда основана на неуправляемой технологии 
Ро\ѵег8Ие11, разработанной Ли Кристенсеном. Команды роѵѵегзЬеІІ и ролѵегріск будут 
использовать ваш текущий токен. 

Команда рзіпіесі вводит неуправляемый РолѵегЗЬеІІ в определенный процесс и 
запускает спиііеі из этого процесса. 

Команда ролѵегвЬеІІ-ітрогі будет импортировать скрипт РолѵегЗЬеІІ в Веасоп. При 
дальнейшем использовании команд ролѵегзкеіі, ролѵегріск и рзпуесі; им будут доступны 
стсііеі из импортированного скрипта. Веасоп может иметь только один скрипт Ро\ѵег81іе11 
одновременно. Импортируйте пустой файл, чтобы очистить импортированный скрипт от 
Веасоп. 


Команда ехесиІе-аззетЫу запустит локальный исполняемый файл .ЫЕТ как пост¬ 
эксплуатацию Веасоп. Вы можете передавать аргументы этой сборке, как если бы она 
была запущена из интерфейса командной строки ’ѴѴіпёохѵз. Эта команда также унаследует 
ваш текущий токен. 

Если вы хотите, чтобы Веасоп выполнял команды из определенного 
каталога(директории), используйте команду ей в консоли Веасоп для переключения 
рабочего каталога процесса Веасоп. Команда р’ѵѵсі сообщит вам, из какого каталога вы в 
данный момент работаете. 

Команда веіепѵ установит переменную окружения. 

7.5 Прохождение Сессии 

Собак зігіке'з Веасоп создавался как линия жизни, которая сохраняла доступ к 
скомпрометированному хосту. С самого первого дня главной целью Веасоп была 
передача доступа другим перехватчикам Собак Зігіке. 

Используйте команду 8ра\ѵп, чтобы создать сессию для перехватчика. Команда 
зралѵп принимает в качестве аргументов архитектуру (например, х86, х64) и 
перехватчик. 

По умолчанию команда вратѵп создает сеанс в гшісІ1132.ехе. Администратору 
оповещения может показаться странным, что гшкШ32.ехе периодически подключается 
к интернету. Найдите более совершенную программу (например, ІЩегпеі Ехр1огег)и 
используйте команду 8ра\ѵпіо, чтобы указать, какую программу Веасоп должен 
вызывать для своих сеансов. 


Команда вралѵпіо требует, чтобы вы указали архитектуру (х86 или х64) и полный путь к 
программе для запуска, если это необходимо. Введите 8ра\ѵпіо сам по себе и нажмите 
еійег, чтобы вернуть настройки Веасоп к по умолчанию. 


Введите ііцесі с последующим ісі процесса и именем перехватчика, чтобы ввести 
сессию в определенный процесс. Используйте р8, чтобы получить список процессов в 
текущей системе. Используйте іп]есІ [рій] х64 для внедрения 64-разрядного Веасоп в 
процесс х64. 


Обе команды зралѵп и пуесі вводят этап полезной нагрузки в память. Если этап полезной 
нагрузки является Веасоп НТТР, НТТР8 или БЫ8, и он не может связаться с вами—вы не 
увидите сессию, таким образом, если этап полезной нагрузки является Веасоп ТСР или 
8МВ, то эти команды автоматически попытаются установить связь и взя^^н^^З^ 
управление этими полезными нагрузками. 
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Используйте (Шііцесі [рісі] для внедрения в процесс Кеііесііѵе ИЬЬ. 

Используйте $Ьіп]'есі [рісі] [агсЬііесіиге] [/раіЬ/іо / Ше.Ьіп] команду для внедрения 
зйеіісосіе из локального файла в целевой процесс. Используйте $Іі$ра\\п [агсЬііесіиге] [/ 
раіЬ / іо / Ше.Ьіп], чтобы создать процесс "зрамоі іо" и ввести указанный файл зііеіісосіе 
в этот процесс. 

Используйте йШоай [рісі] [с:\раіЬ\іо\Ше.с111] для загрузки библиотеки БЬЬ на диске в другом 
процессе. 

7.6 Альтернативные Родительские Процессы 

Используйте р рісі [рісі] для назначения альтернативного родительского процесса для 
программ, запущенных вашим сеансом Веасоп. Это нужно для того, чтобы ваша 
активность смешалась с обычными действиями с целью. Текущий сеанс Веасоп должен 
иметь права на альтернативного родителя, и лучше всего, если процесс 
альтернативного родителя существует в том же сеансе рабочего стола, что и ваш 
Веасоп. Введите рріб, без аргументов, чтобы процессы запустить Веасоп без 
поддельного родителя. 

Команда гшш выполнит команду с другим процессом в качестве родителя. Эта команда 
будет выполняться с правами и сеансом рабочего стола ее альтернативного 
родительского процесса. Текущий сеанс Веасоп должен иметь полные права на 
альтернативного родителя. Команда $ра\ѵпи создаст временный процесс, как дочерний 
для указанного процесса, и введет в него этап полезной нагрузки Веасоп. Значение 
§ра\ѵпіо определяет, какая программа используется в качестве временного процесса. 

7.7 Подделка Аргументов Процесса 

У каждого Веасоп есть внутренний список команд, для которых он должен подделывать 
аргументы. Когда Веасоп запускает команду, которая соответствует списку, Веасоп: 

1. Запускает соответствующий процесс с поддельными аргументами 

2. Обновляет память процесса с реальными аргументами 

3. Возобновляет процесс 

Эффект заключается в том, что приложения хоста, записывающие запуски процессов, 
увидит поддельные аргументы. Это помогает скрыть вашу реальную активность. 

Используйте аг§ие [соттапсі] [іаке аг§итепі$], чтобы добавить команду в этот 
внутренний список. Часть [соттапсі] может содержать переменную окружения. 

Используйте аг§ие [соттапсі], чтобы удалить команду из этого внутреннего списка. 
аг§ие, сам по себе, перечисляет команды в этом внутреннем списке. 

Если Веасоп попытается запустить "пеі.ехе", он не будет соответствовать пеі, 

ХЕТ.ЕХЕ, или с:\\уіпсІо\уз\зузіет32\пе1.ехе из его внутреннего списка. Он будет 
соответствовать только пеі.ехе. 

х86 Веасоп может подменять аргументы только в дочерних процессах х86. Кроме 
того , Веасоп х64 может подменить только аргументы в дочерних процессах х64. 

Реальные аргументы записываются в область памяти, которая содержит поддельные 
аргументы. Если реальные аргументы длиннее поддельных, запуск команды 
завершится неудачей. 
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7.8 Блокировка библиотек йИ$ в Дочерних Процессах 

Используйте ЫоскШІз зіагі, чтобы попросить Веасоп запустить дочерние процессы с 
политикой двоичной подписи, которая блокирует библиотеки сторонних 
разработчиков из пространства процессов. Используйте ЫоскйІН 8іор, чтобы отключить 
такое поведение. Для этой функции требуется \Ѵіпс1о\ѵз 10. 

7.9 Загрузка и Скачивание файлов 

Команда сіоѵѵпіоасі загрузит запрошенный файл. Вам не нужно вводить кавычки вокруг 
имени файла с пробелами в нем. Веасоп построен для низкой и медленной 
эксфильтрации данных. Во время каждой регистрации Веасоп загружает фиксированный 
кусок каждого файла, который ему поручено получить. Размер этого фрагмента зависит 
от текущего канала передачи данных Веасоп. Каналы НТТР и НТТР8 собирают данные в 
блоки по 512 КБ. 

Введите (1о\ѵп1оа(І8, чтобы просмотреть список загружаемых файлов для текущего 
Маяка. Используйте команду сапсеі, а затем имя файла , чтобы отменить загрузку, 
которая выполняется. Вы можете использовать ѵ/іісісагсіз с командой сапсеі, чтобы 
отменить несколько загрузок файлов 

Перейдите в Ѵіе\ѵ - > Оолѵпіоасіз в СоЬаІІ Зігіке, чтобы просмотреть файлы, которые ваша 
команда загрузила ранее. На этой вкладке будут отображаться только завершенные 
загрузки. Загруженные файлы хранятся на командном сервере. Чтобы вернуть файлы в 
систему, выделите их здесь и нажмите кнопку 8упс Гііез. Затем СоЬаІІ Зігіке загрузит 
выбранные файлы в папку по вашему выбору в вашей системе. 

Команда иріоасі загрузит файл на хост. 

При загрузке файла иногда требуется обновить его временные метки, чтобы он 
сливался с другими файлами в той же папке. Для этого используйте команду 
Іітезіотр. Команда Іітезіотр будет сопоставлять измененное, доступное и созданное 
время одного файла с другим файлом. 

7.10 Файловьй браузер 

Файловый браузер Веасоп-это возможность изучить файлы в скомпрометированной 
системе. Перейдите в [Веасоп] - > Ехріоге - > Гііе Вго\ѵ8ег, чтобы открыть его. 

Файловый браузер запросит список текущего рабочего каталога Веасоп. Когда 
результат придет, файловый браузер будет заполнен. 

Левая сторона браузера файлов представляет собой дерево, которое организует известные 
диски и папки в одно целое. В правой части браузера файлов отображается содержимое 
текущей папки. 
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Рисунок 35. Файловый браузер 

Каждый файловый браузер кэширует списки папок, которые он получает. Цветная папка 
указывает на то, что содержимое папки находится в кэше этого файлового браузера. Вы 
можете перейти к кэшированным папкам без создания нового запроса на список файлов. 
Нажмите кнопку КеігевЬ, чтобы попросить Веасоп обновить содержимое текущей папки. 

Темно-серая папка означает, что содержимое папки не находится в кэше этого браузера 
файлов. Нажмите на папку в дереве, чтобы Веасоп создал задачу для отображения 
содержимого этой папки (и обновления ее кэша). Дважды щелкните на темно-серой 
папке справа, чтобы сделать то же самое. 

Чтобы перейти к папке, нажмите кнопку РоШег рядом с путем к файлу над правой 
панелью просмотра сведений о папке. Если родительская папка находится в кэше этого 
файлового браузера, вы сразу увидите результаты. Если родительская папка не 
находится в кэше обозревателя файлов, браузер создаст задачу для вывода списка 
содержимого родительской папки. 


Щелкните правой кнопкой мыши по файлу, чтобы загрузить или удалить его. 


Чтобы узнать, какие диски доступны, нажмите кнопку ЬІ8і Бгіѵегв. 

7.11 Команды файловой системы 

Уои тау ргеРег іо Ьго\ѵке апсі тапіриіаіе (Ее йіе зузіет йот (Ее Веасоп сопзоіе. Уои сап сіо 
ЙіІ8 Ею. ІЕе Йіе І8 соттапсі іо Іізі йіез іп йіе сиггепі сіігесіогу. ІЕе ткйіг іо таке а сЕгесіогу. 
гт \ѵі11 гетоѵе а Ше ог РоШег. ср соріез а йіе іо а сіезііпаііоп. тѵ тоѵез а йіе. 


7.12 Реестр ѴѴіпсІоѵѵз 

Используйте гее диегу [х86|х64] [ШУЕ \ раіЬ\іо\кеу] для запроса определенного 
ключа в реестре. Эта команда выведет значения внутри этого ключа и список всех 
подразделов. Параметр х86/х64 является обязательным и заставляет Веасоп 
использовать \Ѵо\Ѵ64 (х86) или собственное представление реестра, ге е диегу [х86|х64] 

[ШУЕ \ раіЬ\іо\кеу] [ѵаіие] запросит определенное значение в разделе реестра. 
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7.13 Нажатия клавиш и скриншоты 

Инструменты Веасоп для регистрации нажатий клавиш и создания скриншотов 
предназначены для внедрения в другой процесс и сообщения их результатов вашему 
Веасоп. 

Чтобы запустить кейлоггер, используйте кеу1о§§ег рісі чтобы внедриться в процесс х86. 
Используйте кеу1о§§ег рісі х64, чтобы внедриться в 64-разрядный процесс. Ехріогег.ехе 
является хорошим кандидатом для этого инструмента. Используйте кейлоггер сам по 
себе, чтобы ввести регистратор нажатий клавиш во временный процесс. Регистратор 
нажатий клавиш будет отслеживать нажатия клавиш от введенного процесса и сообщать 
о них Веасоп, пока процесс не завершится или вы не завершите работу кейлоггера пост¬ 
эксплуатации. 

Имейте в виду, что несколько кейлоггеров могут конфликтовать друг с другом. 
Используйте только один кейлоггер для каждого сеанса. 

Чтобы сделать снимок экрана , используйте 8сгееп8Ьоі рісі для внедрения инструмента в 
процесс х86. Используйте 8Сгееп8ІюІ рісі х64, чтобы внедриться в 64-разрядный процесс. 
Опять же , ехріогег.ехе является хорошим кандидатом для этого инструмента, у мент а . 
Этот вариант команды зсгеепзйоі сделает один снимок экрана и выйдет. Зсгеепзйоі, сам по 
себе, введет инструмент зсгеепзЬоІ: во временный процесс.Используйте 8Сгееп8ІюІ рісі 
агсЬііесіиге, чтобы попросить инструмент скриншота работать в течение некоторого 
количества секунд и сообщать о скриншоте каждый раз, когда Веасоп регистрируется. 

Это удобный метод для слежки за пользователем. 

Когда Веасоп получает новые скриншоты или нажатия клавиш , он отправляет 
сообщение на консоль Веасоп.. Однако скриншот и информация о нажатиях клавиш 
недоступны через консоль Веасоп. Перейдите к Ѵіе\ѵ ->Кеу8Ігоке8, чтобы увидеть 
зарегистрированные нажатия клавиш во всех сеансах вашего Веасоп.Перейдите в Ѵіе\ѵ - 
> 8сгееп8ІюІ8, чтобы просмотреть скриншоты всех ваших сеансов Веасоп. Оба эти 
диалога обновляются по мере поступления новой информации. Эти диалоги позволяют 
одному оператору легко отслеживать нажатия клавиш и скриншоты на всех сеансах 
вашего Веасоп. 

7.14 Задачи Пост-Эксплуатации 

Некоторые функции Веасоп запускаются как задания в другом процессе (например, 
регистратор нажатий клавиш и инструмент скриншотов). Эти задания выполняются в 
фоновом режиме и сообщают о своих результатах, когда они доступны. Используйте 
команду ]о1э8, чтобы увидеть, какие задания выполняются в вашем Веасоп. Используйте 
] оЬкіІІ [номер задания], чтобы закончить задание. 

7.15 Браузер Процессов 

Обозреватель процессов делает очевидное; он назначает Веасоп для отображения списка 
процессов и показывает вам эту информацию. В левой части показаны процессы, 
организованные в виде дерева. Текущий процесс для вашего Веасоп подсвечивается 
желтым цветом. 

На правой стороне показаны детали процесса. Браузер процессов также является удобным 
местом для имитирования токена из другого процесса, развертывания инструмента 
скриншотов или развертывания регистратора нажатий клавиш . Выделите один или 
несколько процессов и нажмите соответствующую кнопку в нижней части вкладки. 
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Рисунок 36. Браузер Процессов 

Если вы выделите несколько Веасоп'з и зададите им показать процессы, СоЬаЙ Зігіке 
покажет браузер процессов, который также указывает, из какого хоста происходит 
процесс. Этот вариант обозревателя процессов является удобным способом 
развертывания постэксплуатационных инструментов Веасоп сразу в нескольких 
системах. Просто отсортируйте по имени процесса, выделите интересные процессы в 
целевых системах и нажмите кнопку ЗсгеепзЬоІ или Ьо§ Кеузйчэкез, чтобы развернуть 
эти инструменты для всех выделенных систем. 

7.16 Управление рабочим столом 

Для взаимодействия с рабочим столом на хосте цели перейдите в [Ьеасоп] - > Ехріоге - > 
Безкіор (ѴЕІС). Это приведет к этапу ѴІЧС-сервера в память текущего процесса и 
туннелированию соединения через Веасоп. 

Когда ѴЖГ-сервер будет готов, СоЬаЙ Зігіке откроет вкладку с надписью Безкіор Н08Т@РІБ. 

Вы также можете использовать команду (Іезкіор Веасоп для внедрения сервера ѴІ4С в 
определенный процесс. Используйте (Іезкіор ркі агсЬіІесіиге 1о\ѵ|Ьі§Ь. Последний 
параметр позволяет задать качество для сеанса \ПЧС. 
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Рисунок 37. СоЪаИ 8ігіке Средство Просмотра Рабочего Стола 

В нижней части вкладки рабочего стола есть несколько кнопок. Это: 

Обновить экран 
Только просмотр 

Уменьшить Масштаб 
Увеличить Масштаб 
Увеличить Масштаб до 100% 

Отрегулируйте масштаб по размеру вкладки 

Сделать СМ + Езсаре 
Ш Блокировка клавиши СМ 
АН Блокировка клавиши АЙ 

Если вы не можете печатать на рабочем столе проверьте клавиши С(тІ и АН . Если 
одна из клавиш зажата, все ваши действия будут выполняться вместе с СМ или АН. 
Нажмите клавиши СМ или АН чтобы закончить это. Удостоверьтесь, что Ѵіе\ѵ опіу не 
нажата. Чтобы обезопасить вас от случайных движений мышкой, Ѵіе\ѵ включена по 
умолчанию. 
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7.17 Повышение Привилегий 

Некоторые команды пост-эксплуатации требуют прав системного администратора. 
Веасоп включает в себя несколько вариантов, чтобы помочь вам повысить свой 
доступ. 

Повышение с помощью эксплойта 

Введите еіеѵаіе чтобы просмотреть список эксплойтов доступных в Собак 8ігіке. 
Запустите еіеѵаіе [ехріоіі] [ІШепег] чтобы попытаться повысить привилегии с помощью 
эскплойта. Также вы можете запустить их черезе [Ьеасоп] -> Асееве -> Еіеѵаіе. 

Используйте гипазасітіп, чтобы посмотреть эксплойты зарегистрированные в Собак 

Зігіке. Запустите гипазасітіп [ехріоіі] [соттаті + агря] чтобы попробовать запустить 
выбранный эксплойт с повышенными привилегиями. 

Собак 8ігіке разделяет команды повышения привилегий и эксплойты сессий, потому что 
некоторые эксплойты имеют возможность запуска сессии. Другие атаки дают примитив 
"выполнить эту команду". Порождение сеанса из примитива "выполнить эту команду" 
предлагает много решений по вооружению (не всегда благоприятных) в руки 
разработчика вашего инструмента. С помощью гипазасітіп вы можете загрузить 
исполняемый файл на диск и запустить его, запустить оболочку Ро\ѵег8Ье11 опе-йпег или 
каким-либо образом ослабить цель. 


Если вы хотите использовать оболочку Ро\ѵег8бе11 опе-ііпег для создания сеанса, 
перейдите в раздел [веввіоп] - > Асееве - > Опе-ііпег. Это диалоговое окно настроит веб¬ 
сервер только для локального хоста в сеансе Веасоп для размещения этапа полезной 
нагрузки и вернет команду Ро\ѵег8Ье11 для загрузки и запуска этого этапа полезной 
нагрузки. Этот веб-сервер является одноразовым. Как только он будет подключен к опсе, 
он очистится и перестанет обслуживать вашу полезную нагрузку. Если вы запускаете ТСР 
или 8МВ Веасоп с помощью этого инструмента, вам нужно будет использовать соппесі 
или Ипк, чтобы взять на себя управление полезной нагрузкой вручную. Кроме того, 
имейте в виду, что если вы попытаетесь использовать полезную нагрузку х64—это не 
удастся, если х86 Ро\ѵег8Ье11 находится в вашем 8РАТН. 


у Ромег&ЬеІІ Опе-ііпег 

Сепегаіе а зіпдіе изе опе-ііпег іЬаі гипз рауіоасі 
«лІНІп іНіз зеззіоп. 

Ызіепег: Ііср 4440 

х64: П изе х64 рауіоасі 


І_аипсН 


Неір 


Рисунок 38. Ро\ѵег8Ие11 Опе-ііпег 

Собак 8ігіке не имеет много встроенных вариантов повышения привилегий. Разработка 
эксплойтов не входит в сферу деятельности 8ігаІе§іс Субег ЕЕС. Однако легко 
интегрировать эксплойты эскалации привилегий с помощью языка программирования 
А§§геззог Зсгірі от Собак 8ігіке. Чтобы увидеть, как это выглядит, загрузите комплект 
Еіеѵаіе. Еіеѵаіе Кіі- это А§§геззог зсгірі, который объединяет несколько эксплойтов 
эскалации привилегий с открытым исходным кодом в Собак 8ігіке. ЬіІрз://ціІкиб.сот/ 
гзтисІде/ЕІеѵаІеКіІ 
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Повышение с Известными Учетными Данными 

Используйте гипаз [ВОМАІГЧ\ивег] [ра8в\ѵогс1] [соттапсі] чтобы запустить команду как 
другой пользователь, с его учетными данными. Команда тип аз ничего не возвращает. Вы 
также можете использовать её из непривилегированного контекста. 

Используйте 8ра\ѵпа8 [ИОМАІІѴдізег] [развлѵогб] [Іівіепег] чтобы создать сессию, как 
другой пользователь, используя его учетные данные. Эта команда запускает временный 
процесс и внедряет вашу полезную нагрузку в него. Так же вы можете перейти в [Ьеасоп] 

-> Асееве -> 8ра\ѵп Ав чтобы запустить эту команду. 

Используя обе эти команды, имейте в виду, что учетные данные для учетной записи, 
отличной от 8Ш 500, будут порождать полезную нагрузку в средней целостности 
контекста среды.Вам нужно будет использовать Вуразз И АС, чтобы перейти к контексту 
высокой целостности. Кроме того , имейте в виду , что вы должны запускать эти команды 
из рабочей папки, которую может прочитать указанная учетная запись . 

Получение 5У5ТЕМ 

Используйте §еівувіет чтобы выдать себе токен от 8У8ТЕМ аккаунта. Этот уровень 
доступа может позволить вам выполнять привилегированные действия, которые 
недоступны администратору. 

Другой способ получить Зузіет - создать сервис, который запускает полезную 
нагрузку. Команда еіеѵаіе вѵс-ехе [Іівіепег] делает это. Он забрасывает исполняемый 
файл, который запускает полезную нагрузку, создает службу для ее запуска, берет на 
себя управление полезной нагрузкой и очищает службу и исполняемый файл. 

Прохождение ІІАС 

Місгозой представила Контроль учетных записей пользователей (ІІАС) в \Ѵіпс1о\ѵз Ѵізіа и 
усовершенствовала его в \Ѵіпс1о\ѵз 

7. ІІАС работает очень похоже на зисіо в ІІМХ. Каждый день пользователь работает с обычными 
привилегиями. Когда пользователь должен выполнить привилегированное действие-система 
спрашивает, хотят ли они повысить свои права. 

СоЬаІі 8ігіке предоставляется с несколькими ІІАС Ьуразз атаками. Эти атаки не будут 
работать, если текущий пользователь не является администратором. Чтобы проверить, 
входит ли текущий пользователь в группу администраторов, используйте команду гип 

тѵЬоаші / §гоирв. 

еіеѵаіе иас-іокеп-сіиріісаііоп [Іівіепег] создаст временный процесс с повышенными 
правами и внедрит полезную нагрузку в него. Эта атака использует ІІАС-ІоорЬоІе , 
который дает возможность не повышенному процессу, запустить процесс с токеном 
украденным из повышенных процессов. Эта ІоорЬоІе требует, чтобы атака удалила 
несколько прав, назначенных повышенному токену. Возможности вашего нового сеанса 
будут отражать эти ограниченные права. Если параметр Аіѵѵаув Ыоііі'у находится на 
самом высоком уровне, эта атака требует, чтобы в текущем сеансе рабочего стола уже 
выполнялся процесс с повышенными правами (от имени того же пользователя). Эта атака 
работает на ’ѴѴиккпѵз 7 и \Ѵіпс1о\ѵз 10 до обновления ноября 2018 года. 

гипазасітіп иас-іокеп-сіиріісаііоп [соттапб] это такая же атака, но этот вариант 
выполняет команду по вашему выбору в повышенном контексте. 

гипазасітіп иас-ствіріиа [соттапсі] попробует пройти ІІАС и выполнить команду в 
повышенном контексте. Эта атака опирается на СОМ объект, который автоматически 
поднимается из определенных контекстов процесса (Місгозой зі§пес1, находится в с: 

\\ѴІПСІО\Ѵ8\*). 
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Привилегии 

Введите §еіргіѵз, чтобы включить привилегии, назначенные текущему токену доступа. 

7.18 Мітікаіг 

Веасоп включает в себя тітікаіг. Используйте команду тітікаіг, чтобы передать 
любую команду диспетчеру команд тітікаіг. Например, тітікаіг 8Іапс1агс1::соі'і'ее 
даст вам чашку кофе. Веасоп позаботится о том, чтобы внедрить экземпляр тітікаі :г, 
соответствующий исходной архитектуре вашей цели. 

Некоторые команды тітікаіг должны запускаться как 8У8ТЕМ чтобы работать. 

Сделайте префикс ! заставить мимикац поднять привилегии до 8У8ТЕМ прежде чем он 
выполнит вашу команду. Например, тітікаіг !1«а::сасйе восстановит кешированные в 
системе хэши паролей. 

Иногда вам может понадобиться выполнить команду тітікаіг с Веасоп’8 текущий 
токеном доступа. Сделайте префикс @ чтобы заставить тітікаіг использовать текущий 
токен доступа Веасоп. Например, тітікаіг @І8ас1итр::(ісзупс запустит команду сісзупс в 
тітікаіг с текущим токеном доступа Веасоп. 

7.19 Сбор учетных данных и хэша 

Чтобы сбросить хеши, перейдите к [Ьеасоп] -> Асееве -> Вшнр НазЬез. Вы также 
можете использовать команду Іі аз Митр из консоли Веасоп. Эти команды порождают 
работу, которая внедряется в Е8А88 и сбрасывает хеши паролей для локальных 
пользователей в текущей системе. 

Команда 1о§опраззлѵогс1з будет использовать тішікаіг для восстановления 
незашифрованных паролей и хэшей для пользователей, которые вошли в систему. 
Команда 1о§опраз8\ѵогсІ8 такая же, как [Ьеасоп] -> Ассе88 -> Кип Мітікаіг. 

Используйте сісзупс [ООМАІІѴ.РООІЧ] чтобы вытащить хеши паролей для всех учетных 
записей с контроллера домена. Эта техника использует ^іпсіоѵѵз АРІз построенное для 
синхронизации информации между контроллерами домена. Требуются доверительные 
отношения администратора домена. Веасоп использует тішікаіг чтобы пользоваться этой 
техникой. Используйте сісзупс |ВОМАІІ\.РООІ\| [БОМАІМшег], если вы хотите 
определенный хэш пароля. 

Учетные данные, сбрасываемые с помощью этих команд, собираются СоЬаІі 8ігіке и 
хранится в модели данных учетных данных. Перейдите в Ѵіе\ѵ -> Сгесіепііаіз подтянуть 
учетные данные на текущий командный сервер. 

7.20 Сканирование портов 

Веасоп имеет встроенный сканер портов. Используйте рогізсап [іаг§еѣ] [рогѣ] [сііхсоѵегу 
теікой] запустить работу сканера портов. Вы можете указать список целевых диапазонов 
через запятую. То же самое касается портов. Например, рогізсап 172.16.48.0/24 
1-1024,8080 будет сканировать хосты 172.16.48.0 через 172.16.48.255 на портах 1 іо 1024 
апб 8080. 

Есть три варианта обнаружения цели. Метод агр используйте АКР запрос узнать, жив 
хост или нет. Метод істр посылает ІСМР эхо-запрос проверить, жива ли цель. Опция 
попе сообщает утилите рогізсап, что все хосты живы. 
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Сканер портов будет работать, между проверками Маяка. Когда у него будут результаты, 
он отправит их в коносль Веасоп. СоЪаІІ Зігіке обработает эту информацию и обновит 
модель целей с обнаруженными хостами. 

7.21 Перебор сетей и узлов 

Веасоп’з Сетевой модуль предоставляет инструменты для обнаружения целей в сети 
активных каталогов \УіпсІо\ѵ8. Используйте команду пеі сісіізі чтобы найти контроллер 
домена для домена, к которому присоединяется цель. Используйте команду пеі ѵіе\ѵ 
чтобы найти цели в домене, к которому присоединена цель. Обе эти команды также 
заполняют модель целей. Команда пеі сотриіегз находит цели, запрашивая группы 
учетных записей компьютеров на контроллере домена. 

Команды в сетевом модуле Веасоп построены на основе \Ушс1о\У8 №і\ѵогк Епитегаііоп 
АРІз. Большинство из этих команд являются прямой заменой многих встроенных сетевых 
команд в \УіпсІо\ѵ8. Также есть несколько уникальных возможностей. Например, 
используйте пеі 1оса1§гоир \\ТАКСЕТ перечислить группы в другой системе. Используйте 
пеі 1оса1§гоир \\ТАКСЕТ§гоир пате перечислить членов группы в другой системе. Эти 
команды хороши во время бокового смещения, когда вам нужно найти, кто является 
локальным администратором в другой системе. 

Используйте Ьеір пеі чтобы получить список всех команд в сетевом модуле Веасоп. 
Используйте Ьеір пеі соттапсі чтобы получить помощь для каждой отдельной команды. 

7.22 Дэверительнье отношения 

Сердцем входа в \ѴіпсІо\У8 является токен доступа. Когда пользователь входит на хост 
\Ѵіпс1о\ѵ8, генерируется токен доступа . Этот токен содержит информацию о пользователе 
и его правах. Токен доступа также содержит информацию, необходимую для 
аутентификации текущего пользователя в другой системе в сети. Создайте токен, и 
\ѴіпсІо\У8 будет использовать его информацию для аутентификации на сетевом ресурсе. 

Используйте 8Іеа1_Іокеп [ргосезз ісі] чтобы получить токен из существующего процесса. 
Если вы хотите увидеть, какие процессы запущены, используйте ре. Команда §еІиі(1 
распечатает ваш текущий токен. Используйте геѵ28е11 чтобы вернуться к исходному 
токену. 

Если вы знаете учетные данные для пользователя; используйте шаке_1океп [БОМАШ 
\изег] [раз8\ѵогй] генерировать токен, который будет использовать эти учетные данные. 
Этот токен является копией вашего текущего токена с измененной информацией входа. 

Он покажет ваше текущее имя пользователя. Это ожидаемое поведение. 

Испольйте шітікаіг пройти хэш с Веасоп. Команда Веасоп рІЬ [БОМАШ\и8ег] [пііш 
ЬазЬ] создаст и заменит токен доступа для передачи указанного хэша. 

Веасоп’з Диалог создания токена ([Ьеасоп] -> Асеев» -> Маке Токеп) является 
интерфейсом для этих команд. Он представит содержимое модели учетных данных и с 
помощью правильной команды превратит выбранную запись учетных данных в токен 
доступа. 

Билеты КегЬегоз 

Используйте кегЬего8_ІіскеІ_иве [/раІЬ/Іо/ІіскеІ] чтобы внедрить билет КегЬегоз в 
текущий сеанс. Это позволит Веасоп взаимодействовать с удаленными системами, 
используя права, указанные в этом билете. Попробуйте это с Золотым Билетом, 
сгенерированным тітікаі/ 2.0. 
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Используйте кегЪего8_ІіскеІ_риг§е очистить любые билеты Кегбегоз, связанные с вашей сессией. 

7.23 Боковое Смещение 

Как только у вас есть токен для администратора домена или пользователя домена, 
который является локальным администратором в цели, Вы можете воспользоваться 
этими доверительными отношениями, чтобы получить контроль над целью. Собак 
Зігіке’з Веасоп имеет несколько встроенных опций для бокового смещения. 


Напишите щтр чтобы получить список вариантов бокового смещения, 
зарегистрированных в Собак Зігіке. Запустите щтр [тосіиіе] [іаг§еі] [Ііаіепег] чтобы 
попытаться запустить полезную нагрузку на удаленной цели. 


.Іитр Могіиіе 

АгсЬ 

Иезсгірііоп 

рвехес 

х86 

Использование службы для запуска артефакта Зегѵісе ЕХЕ 

рзехес64 

х64 

Использование службы для запуска артефакта Зегѵісе ЕХЕ 

рзехес рзЬ 

х86 

Используйте сервис для запуска Ро\ѵег8Ье11 опе-ііпег 

ѵуіпгт 

х86 

Запустите скрипт Ро\ѵег8Ье11 через \ѴіпРМ 

ѵчпгт64 

х64 

Запустите скрипт Ро\ѵег8Ье11 через \ѴіпРМ 


Запустите гетоіе-ехес, сам по себе, перечислить модули удаленного выполнения, 
зарегистрированные в Собак Зігіке. Используйте гетоіе-ехес [тосіиіе] [іаг§еі] 
[сотташі + аг§«] попытаться выполнить указанную команду на удаленной цели. 


Кетоіе-ехес Могіиіе 

Иезсгірііоп 

рвехес 

Удаленное выполнение через Зегѵісе Сопігоі Мапа§ег 

ѵуіпгт 

Удаленное выполнение через \УіпКМ (Ро\ѵег81іе11) 

^ѵті 

Удаленное выполнение через \УМІ (Ро\ѵег8Ье11) 


Боковое смещение очень похоже на повышение привилегий, где некоторые атаки 
представляют собой естественный набор примитивов для создания сеанса в удаленной 
цели. Некоторые атаки предоставляют только испольняемый-примитив. Разделение 
между щтр и гетоіе-ехес дает вам гибкость при выборе способа использования 
примитива только для выполнения. 

А§§геззог Зсгірі имеет АРІ {добавить новые модули в щтр и гетоіе-ехес. Посмотрите 
документацию А§§геззог Зсгірі (особенно часть про Веасоп) чтобы получить больше 
информации. 
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7.24 Боковое смещение СІЛ 

Собак Зігіке также обеспечивает графический интерфейс пользователя сделать боковое 
смещение легче. Переключитесь на Таг§еІ8 Ѵізиаіі/айои или перейдите к Ѵіе\ѵ -> 
Таг§еІ8. Перейдите к [іаг§еі] -> Литр аи выберите нужный вариант бокового смещения. 


Откроется следующий диалог: 



Рисунок 39. Диалог Бокового Смещения 

Чтобы использовать этот диалог: 

Сначала решите, какое доверие вы хотите использовать для бокового смещения. Если вы 
хотите использовать токен одного из ваших Веасоиз, установите флажок Ѵне зеззіоп ’$ 
сиггепі ассезз іокеп . Если вы хотите использовать учетные данные или хэши для 
бокового смещения—тоже норм. Выберите учетные данные в хранилище учетных данных 
или заполните поля ІІзег, Ра$з\ѵог<і, апсі Оотаіи. Веасои будет использовать эту 
информацию для создания для вас токена доступа. Имейте в виду, вам нужно работать в 
контексте высокой целостности [администратор], чтобы это работало. 

Затем выберите перехватчик для бокового смещения. 8МВ Веасои обычно 
хороший кандидат для этого. 

В конце, звыберите, из какой сессии вы хотите выполнить атаку бокового смещения. 
Собак Зігіке’з асинхронная модель атаки требует, чтобы каждая атака выполнялась из 
скомпрометированной системы. Нет возможности выполнить эту атаку без сеанса Веасои 
для атаки. Если вы находитесь во внутреннем контексте, рассмотрите возможность 
подключения системы \ѴіпсІо\У8, которой вы управляете, и используйте ее в качестве 
отправной точки для атаки на другие системы с помощью учетных данных или хэшей. 

Нажмите ЬаипсЬ. Собак Зиіке активирует вкладку для выбранного Веасои и передаст в 
нее команды. Обратная связь от атаки будет отображаться в консоли Веасои. 
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8. Проброска Браузера 

8.1 Обзор 

Вредоносное ПО, такое как 2еш и его варианты внедряются в браузер пользователя 
для кражи банковской информации. Это атака «человек в браузере». Так называется, 
потому что злоумышленник внедряет вредоносное ПО в браузер цели. 

Вредоносная программа «человек в браузере» использует два подхода для кражи 
банковской информации. Она либо захватывают данные формы, когда они отправляются 
на сервер. Например, вредоносная программа может зацепить РК_\Ѵгііе в Р ігеі'ох чтобы 
перехватить НТТР Р08Т данные, отправленные Р ігеі'ох. Или она внедряет ІаѵаЗсгірі на 
определенные веб-страницы чтобы заставить пользователя думать, что сайт запрашивает 
информацию, необходимую злоумышленнику. 

СоЬаІі 8ігіке предлагает третий подход для атак «человек в браузере». Это позволяет 
злоумышленнику захватить аутентифицированные веб-сессии—абсолютно все. Как 
только пользователь заходит на сайт, злоумышленник может попросить браузер 
пользователя делать запросы от его имени. Поскольку браузер пользователя делает 
запрос, он автоматически повторно аутентифицируется на любом сайте, на котором уже 
зарегистрирован пользователь. Я называю это проброской браузера—потому что 
злоумышленник пробрасывает свой браузер через скомпрометированный браузер 
пользователя. 
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Рисунок 40. Проброска браузера в действии 

СоЬаІі Зігіке’§ реализация проброски браузера для Іпіешеі Ехріогег вводит прокси-сервер 
НТТР в скомпрометированный браузер пользователя. Не путайте это с изменением 
настроек прокси пользователя. Прокси-сервер не влияет на то, как пользователь попадает 
на сайт. Скорее этот прокси-сервер доступен злоумышленнику. Все запросы, 
поступающие через него, выполняются браузером пользователя. 
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8.2 Установка 

Для настройки проброски браузера перейдите к [Ьеасоп] -> Ехріоге -> Вго\ѵ8ег Ріѵоі. 
Выберите экземпляр Іпіегпеі: Ехріогег, в который вы хотите внедриться. Вы также 
можете решить, к какому порту привязать прокси-сервер, пробрасывающий браузер. 
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Рисунок 41. Старт Проброски Браузера 

Помните, что процесс, который вы вводите, имеет большое значение. Внедрите в Іпіегпеі: 
Ехріогег наследование аутентифицированных веб-сеансов пользователя. Современные 
версии Іпіегпеі Ехріогег создают каждую вкладку в своем собственном процессе. Если 
ваша цель использует современную версию Іпіегпеі: Ехріогег, Вы должны внедрить 
процесс, связанный с открытой вкладкой, чтобы унаследовать состояние сеанса. Какой 
процесс вкладки не имеет значения (дочерние вкладки разделяют состояние сеанса). 
Определите процессы на вкладке Іпіегпеі Ехріогег, посмотрев значение РРГО в диалоговом 
окне настройки проброски браузера. Если РРШ ссылается на ехріогег.ехе, процесс не 
связан с вкладкой. Если РРШ ссылается на іехріоге.ехе, процесс связан с вкладкой. Собак 
Зкіке будет показывать галочку рядом с процессами, в которые, по его мнению, вы 
должны внедриться. 

После настройки проброски браузера, настройте свой веб-браузер на использование 
прокси-сервера проброски браузера. Помните, что сервер Собак Зігіке проброски 
браузера является прокси-сервером НТТР. 
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Рисунок 42. Конфигурация Настроек Прокси Браузера 
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8.3 Использование 

Вы можете просматривать веб-страницы в качестве целевого пользователя после запуска 
проброски браузера. Помните, что прокси-сервер, поддерживающий браузер, представит 
свой 88Ь-сертификат для посещаемых вами веб-сайтов с поддержкой 88Б. Это 
необходимо для работы технологии. 

Прокси-сервер браузера проброски попросит вас добавить хост в доверенное хранилище 
вашего браузера, когда он обнаружит ошибку 88Ь. Добавьте эти хосты в хранилище 
доверенных сертификатов и нажмите «КеітезЬ», чтобы сайты, защищенные 88Ь, 
загружались правильно. 

Если ваш браузер закрепляет сертификат целевого сайта, может оказаться невозможным 
заставить ваш браузер принять браузер, поддерживающий 88Ь-сертификат прокси- 
сервера. Это больно. Одним из вариантов является использование другого браузера. 

Браузер СЬготіит с открытым исходным кодом имеет параметр командной строки, 
позволяющий игнорировать все ошибки сертификатов. Это идеально подходит для 
проброски браузера: 

сЬготіит — ідпоге-сегЪііісаЪе-еггогз — ргоху-5егѵег=[Ьоз1:] : [рогѣ] 

Чтобы остановить прокси-сервер проброски браузера, введите Ьго\ѵзегріѵоі зіор в консоли Веасоп. 

Вам нужно будет повторно внедрить прокси-сервер проброски браузера, если 
пользователь закроет вкладку, с которой вы работаете. Вкладка проброски браузера 
предупредит вас, когда не сможет подключиться к прокси-серверу проброски браузера. 

8.4 Как это работает 

ІЩегпеі: Ехріогег делегирует все свои коммуникации в библиотеку под названием \Ѵіп ІЫеТ. 

Эта библиотека, которую может использовать любая программа, управляет файлами 
соокіе, 88Ь зеззіопз, и аутентификацей сервера для своих потребителей. СоЬаЙ 8Шке’з 
проброска браузера использует тот факт, что \ѴіпІ№і прозрачно управляет 
аутентификацией и повторной аутентификацией для каждого процесса. Внедряя СоЬаЙ 
Зіхіке’з технологию проброски браузера в пользовательский экземпляр ІЩегпеі: Ехріогег 
вы получаете эту прозрачную повторную аутентификацию бесплатно. 
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9. Проброска 

9.1 Что такое Проброска 

Проброска, ради этого руководства, превращает скомпрометированную систему в точку 
перехода для других атак и инструментов. Собак 8ігіке’з Веасоп предоставляет 
несколько опций проброски. Для каждой из этих опций, вы должны убедиться, что ваш 
Веасоп находится в интерактивном режиме. Интерактивный режим - это когда Веасоп 
регистрируется несколько раз каждую секунду. Используйте команду зіеер 0 чтобы 
перевести Веасоп в интерактивный режим. 

9.2 50СК5 Прокси 

Перейдите в [Ьеасоп] -> Ріѵоііп§ -> 80СК8 8егѵег чтобы настроить 80СК84а прокси- 
сервер на вашем командном сервере. Или используйте воск» 8080 чтобы настроить 
80СК84а прокси-сервер на порт 8080 (или любой другой порт, который вы выберете). 

Все соединения, проходящие через эти 80СК8-серверы, превращаются в задачи 
подключения, чтения, записи и закрытия, которые должен выполнить связанный 
Веасоп. Вы можете туннелировать 80СК8 через любой тип Веасоп (даже 8МВ 
Веасоп). 

Веасоп’з НТТР канал данных является наиболее отзывчивым для целей проброски. Если 
вы хотите провернуть трафик Э1Ч8, используйте Б1Ч8 ТХТ запись режима связи. 

Чтобы увидеть 80СК8 серверы, которые в данный момент настроены, перейдите на Ѵіе\ѵ -> Ргоху 
РІѴОІ8. 

Используйте воске віор отключить 80СК8 прокси-сервер. 

Цепочки Прокси (Ргохусбаіп$) 

Инструмент ргохусбаіпззаставит внешнюю программу использовать назначенный вами 
прокси-сервер 80СК8. Вы можете использовать ргоху сбаіпз заставить работать 
сторонние инструменты через Собак Зігіке’з 80СК8 сервер. Чтобы узнать больше о 
ргоху сбаіпз, посетите: 

• Ьіір://ргохусЬаіп5.зоигсеіог§е.пеі/ 

Меіазріоіі 

Вы также можете туннелировать эксплойты и модули Меіазріоіі Ргатехѵогк через 
Веасоп. Создайте Веасоп 80СК8 прокси-сервер [как описано выше] и вставьте в 
консоль Меіазріоіі Ргате\ѵоііс следующее: 

веі§ Ргохіез воскв4 :1еат зегѵег ІР'.ргоху рогі 
веі§ КеѵегзеАІІоѵѵРгоху ігие 

Эти команды будут инструктировать Меіазріоіі Ргатехѵогк применять опцию Ргохіез 
ко всем модулям, выполняемым с этого момента. Как только вы закончите проброску 
Веасоп таким образом, используйте ипзеі§ Ргохіез чтобы остановить это поведение. 
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Если вам трудно запомнить вышеизложенное, перейдите в Ѵіеѵѵ -> Ргоху РіѵоІ8. 
Выделите настроенную точку прокси и нажмите Типпеі. Эта кнопка обеспечит зе1:§ 
Ргохіез синтаксис, необходимый для туннелирования Меіазріой Ргатехѵогк через ваш 
маяк. 

9.3 Обратный порт 

Используйте команду грогііѵѵсі чтобы настроить обратное смещение через Веасоп. 
Команда грогйлуб свяжет порт на скомпрометированной цели. Любые подключения к 
этому порту приведут к тому, что СоЬаЙ Зігіке сервер инициирует соединение с другим 
хостом и портом и передаает трафик между этими двумя соединениями. СоЪаІІ Зігіке 
туннелирует этот трафик через Веасоп. Синтаксис для гроЛЕѵё: грогііѵѵсі [Ьіпсі рогі] 
[іопѵагй Ьо8і] [Іопѵагсі рогі]. 

Используйте грогіВѵгі 8Іор [Ьіпсі рогі] чтобы отключить обратный порт. 

9.4 Перехватчики Проброски 

Это хороший способ ограничить количество прямых соединений от сети вашей цели к 
вашей инфраструктуре управления и контроля. Перехватчик проброски позволяет создать 
перехватчик, который привязан к Веасоп или 83Н-сессии. Таким образом, вы можете 
создавать новые обратные сеансы без дополнительных прямых подключений к 
инфраструктуре управления и управления. 

Чтобы настроить перехватчик проброски, перейдите к [Ьеасоп] -> РіѵоІіп§ -> 

ІЛ8Іепег..., Откроется диалоговое окно, в котором можно создать новый перехватчик 
проброски. 



Рисунок 43. Конфигурация Перехватчика Проброски 

Перехватчик проброски будет привязан к порту прослушивания в указанном 
сеансе. Значение Ьізіеп Нозі настраивает адрес, который будет использоваться 
для подключения к этому перехватчику обычной полезной нагрузкой ТСР. 

Сейчас единственным вариантом полезной нагрузки является мчпёоѵѵ5/Ъеасоп_геѵег8е_іср. 

Перехватчики проброски не изменяют конфигурацию брандмауэра узла проброски. 

Если основной узел имеет межсетевой экран на основе узла, это может помешать 
вашему перехватчика. Вы, как оператор, несете ответственность за предвидение этой 
ситуации и принятие правильных мер для ее устранения. 

Чтобы удалить перехватчик проброски, перейдите к СоЪаІІ Зігіке -> ЬІ8Іепег8 и 
удалите перехватчики там. СоЬаІІ Зігіке отправит задачу для снятия сокета 
перехватчика, если сеанс все еще доступен. 
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9.5 Скрытый ѴРМ 

Проброска ѴРМ - это гибкий способ туннелирования трафика без ограничений прокси- 
сервера. С'оЬаЙ Зігіке предлагает проброску ѴРЫ через функцию скрытого ѴРЫ. 
Скрытый ѴРМ создает сетевой интерфейс в системе СоЬаЙ Зігіке и соединяет этот 
интерфейс с сетью цели. 



Рисунок 44. Установка скрытого ѴРК 

Чтобы активировать скрытый ѴР1Ч, щелкните правой кнопкой мыши на взломанном 
хосте, перейдите в [Ьеасоп] -> Ріѵойп§ -> Беріоу VРN. Выберите удаленный интерфейс, 
к которому вы хотите привязать скрытый ѴР1Ч. Если локальный интерфейс отсутствует, 
нажмите Айсі чтобы создать. 

Установите флажок Сіопе козіМАС аскігезз чтобы ваш локальный интерфейс имел тот 
же МАС-адрес, что и удаленный интерфейс. Безопаснее всего оставить этот параметр 
включенным. 

Нажмите Беріоу чтобы запустить клиент скрытого ѴРЫ на цели. Скрытый ѴРМ 
требуется доступ администратора для развертывания. 

Когда интерфейс скрытого ѴРЫ активен, вы можете использовать его как любой 
физический интерфейс в вашей системе. Используйте іісопй§ настроить свой ІР-адрес. 
Если ваша целевая сеть имеет БНСР-сервер, вы можете запросить у него ІР-адрес, 
используя встроенные инструменты вашей операционной системы. 

Чтобы управлять вашими интерфейсами скрытого ѴРЫ , перейдите в СоЬаІі 8ігіке -> 
Іпіегіасе». Здесь, СоЬаЙ Зігіке покажет интерфейсы скрытого ѴР1Ч, как они настроены и 
сколько байтов было передано и получено через каждый интерфейс. 

Выделите интерфейс и нажмите Кетоѵе уничтожить интерфейс и закрыть удаленный 
клиент скрытого ѴР1Ч. Скрытый ѴРЫ удалит свои временные файлы при перезагрузке и 
сразу же отменит любые системные изменения. 

Нажмите Агій настроить новый интерфейс скрытого ѴРЫ . 
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Рисунок 45. Установка интерфейса скрытого ѴРК 

Интерфейсы скрытого ѴРЫ состоят из сетевого крана и канала для общения бЗЙіегпеІ: 
ігагпез. Чтобы настроить интерфейс, выберите имя интерфейса (это то, что вы будете 
изменять через ксопй§ позже) и МАС-адрес. 

Вы также должны настроить канал связи для вашего интерфейса. Скрытый ЛЧЧчГ 
может передавать пакеты ЕЙіетеІ через соединение ІЮР, соединение ТСР, ІСМР или 
используя протокол НТТР. Канал ТСР (обратный) имеет целевое соединение с вашим 
экземпляром СоЬаЙ Зігіке. Канал ТСР (ВіпсІ) имеет Собак Зігіке туннель ѴРК через 
Веасоп. 

Собак Зігіке будет настраивать и управлять связью с клиентом скрытого ѴРК на 
основе выбранного локального порта и канала. 

Скрытый ѴРЫ НТТР канал использует веб-сервер Собак Зігіке. Вы можете размещать 
другие веб-приложения Собак Зігіке и несколько НТТР-каналов скрытого ѴРЫ на одном 
и том же порту. 

Для лучшей производительности используйте канал ЦТ)Р. Канал ІЮР имеет наименьшее 
количество служебной информации по сравнению с каналами ТСР и НТТР. Используйте 
каналы ІСМР, НТТР или ТСР (ВіпсІ), если вам нужно преодолеть ограничительный 
межсетевой экран. 

Пока скрытый ѴРИ имеет преимущество в гибкости, ваше использование проброски 
ѴРЫ или проброски по прокси будет зависеть от ситуации. Скрытому ѴРЫ требуется 
доступ администратора. Проброске прокси доступ не требуется. Скрытый ѴРН создает 
новый канал связи. Проброска прокси - не создает. Вы сначала должны использовать 
проброску прокси и переходить к проброске ѴРЫ только при надобности. 
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10. 55Н Сессии 

10.1 Клиент 55Н 

СоЬаЙ Зігіке контролирует цели 1ЖІХ с помощью встроенного 88Н-клиента. Этот 
88Н-клиент получает задания и направляет их выходные данные через родительский 
Веасоп. 


88Ь [іаг§еі] [ивег] [ра88\ѵогй] Веасоп. 

88Ь-кеу [іаг§еі] [ивег] [/раШ/іо/кеу.реш] 


Собак Зйтке’з 88Н 


Собак 8ігіке. 

Іпіегасі 


Ьеір 

Ьеір 


10.2 0 В^Г ІФ/ІГПД/Ф 

вііеіі 


Собак 8ігіке 


Собак 8іхіке 


вийо [раввтѵогй] [соттапсі + аг^итепів] попытаться запустить 
команду через зисіо. Но это требует от зисіо цели принимать \ -8 флаг. 

Команда сгі изменит текущий рабочий каталог для сеанса 88Н. Команда рѵѵсі 
сообщает текущий рабочий каталог. 

10.3 Загрузка и скачивание файлов 

Команда иріоай загрузит файл в текущий рабочий каталог. Команда сіоѵѵпіоасі скачает 
файл. Файлы, загруженные с помощью команды загрузки, доступны в разделе Ѵіе\ѵ -> 
Оол\пІоа(І8. Вы также можете ввести (1о\ѵпІоасІ8 чтобы увидеть загрузки файлов в 
процессе. Команда сапсеі отменит загрузку, которая выполняется. 

10.4 Реег-Ю-реег С2 

Сессии 88Н могут контролировать ТСР Веасопз. Используйте команду соппесі взять на 
себя управление ТСР-Веасоп, ожидающим соединения. Используйте ипііпк отключить 
сеанс ТСР Веасоп. 

Перейдите в [веввіоп] -> Ьізіепегз -> Ріѵоі Ызіепег... чтобы настроить перехватчика 
привязанного к этому сеансу 88Н. Это позволит этой скомпрометированной цели 1ЖІХ 
получать обратные сеансы ТСР Веасоп. Эта опция требует, чтобы 88Н сіаеіпоп’з 
Оа1:е\ѵауРог1:8 опция установлена в уез или С1іепі;8ресібеё. 
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10.5 50СК5 Проброска и обратные порты 

Используйте команду зоскз чтобы создать 80СК8 сервер, в вашем командом сервере 
который передает трафик через сессию 88Н. Команда грогіітѵгі также создаст 
переадресацию обратного порта, который направляет трафик через сеанс 88Н и вашу 
цепь Веасопз 

Есть одна оговорка касающаяся гроідЕѵсі: команда грогіЕѵсІ привязать 88Н сіаетоп 
ко всем интерфейсам. Вполне вероятно, 88Н сіаетоп переопределит это и заставит 
порт связываться с ІосаШозІ. Вам нужно изменить ОаІеѵ/ауРогЕ опцию для 88Н 
сіаетоп в да или сІіепЕресібесІ. 
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11. МаІІеаЫе Командование и Управление 

11.1 Обзор 

Многие индикаторы Веасоп контролируются профилем МаІІеаЫе С2. А МаІІеаЫе С2 
профиль состоит из настроек и преобразований данных. Преобразование данных - это 
простая программа, которая определяет, как преобразовать данные и сохранить их в 
транзакции. Та же программа, которая преобразует и хранит данные, интерпретирует их в 
обратном направлении, а также извлекает и восстанавливает данные из транзакции. 

Чтобы использовать собственный профиль, вы должны запустить командный сервер 
Собак Зігіке и указать свой профиль. 

./Іеаішегѵег [ехіегпаі ІР] [раязлѵогсі] [/раіЬ/Іо/ту.ргоЯ1е] 

Вы можете загрузить только один профиль для каждого экземпляра Собак Зігіке. 

11.2 Проверка оішбок 

Собак Зкіке’з Ілпих пакет включает в себя программу с21іп(. Эта программа проверит 
синтаксис коммуникационного профиля, применить несколько дополнительных 
проверок, и даже модульно протестирует ваш профиль случайными данными. 
Настоятельно рекомендуется проверить свои профили с помощью этого инструмента, 
прежде чем загружать их в Собак Зкіке. 

./с21іпІ [/раШ/іо/ту.ргойІе] 

11.3 Язык Профиля 

Лучший способ создать профиль - это изменить существующий. Несколько 
примеров профилей доступны на ОіЙшб: 

• Ькр5://^кЬиб.сот/г5тші^е/Ма11еаб1е-С2-РгоШе5 

Когда вы открываете профиль, вот что вы видите: 

# іЬі.8 іа а соттеп-Ь 

зе-Ь д1оЬа1_ор-Ьіоп "ѵаіие"; 

рго-Ьосо1--Ьгап5ас-Ьіоп { 

зе-Ь 1оса1_ор-Ьіоп "ѵаіие"? 

сІіеп-Ь { 

# сиг-Ьотіге сІіеп-Ь іпсІіса-Ьогг 

} 

зегѵег { 

# сиг-Ьотіге еегѵег ІпсИса-Ьогв 

} 

} 
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Комментарии начинаются с # и идут до конца строки. Оператор зеі - это способ 
присвоения значения опции. Профили используют { сигіу бгасез } чтобы группировать 
инструкции и информацию вместе. Инструкции всегда заканчиваются точкой с запятой. 

Чтобы все это имело смысл, вот частичный профиль: 

ЬЕСр-деС { 

зек. игі "/^ооЬаг"; 
сііепб. { 

те'ЬасІа'Ьа { 

Ьазеб4; 

ргерепсі "изег=" ; 

Ьеасіег "Соокіе" ; 

} 

} 

Этот частичный профиль определяет индикаторы для транзакции НТТР ОЕТ. Первая 
инструкция, зеі игі, назначает ІЖІ, на который будут ссылаться клиент и сервер во время 
этой транзакции. Этот оператор зеі: находится вне блоков кода клиента и сервера, 
поскольку он применяется к ним обоим. 

Клиентский блок определяет индикаторы для клиента, который выполняет НТТР ОЕТ. В 
данном случае клиентом является полезная нагрузка Собак Зігіке Веасоп. 

Когда Веасоп Собак Зпіке «звонит домой», он отправляет метаданные о себе в Собак 
Зпіке. В этом профиле мы должны определить, как эти метаданные кодируются и 
отправляются с нашим НТТР-запросом ОЕТ. 


Ключевое слово теіаёаіа, за которым следует группа операторов, определяет, как 
преобразовать и встроить метаданные в наш НТТР-запрос ОЕТ. Группа операторов, 
следующая за ключевым словом метаданных, называется преобразованием данных. 



Зіер 

Асгіоп 

Баіа 

0 . 

Зіагі 


шеіасіаіа 

1 . 

базе64 

Вазе64 Епсосіе 

б\УѴ0У\УКЬсЮЕ= 

2. 

ргерепсі "изег=" 

Ргерепсі 8кіп§ 

изег=б\УѴ0У\УШісЮЕ= 

3. 

беасіег "Соокіе" 

Зіоге іп Тгапзасііоп 



Первое утверждение в нашем преобразовании данных гласит, что мы будем базе64 
закодировывать наши метаданные [1]. Второе утверждение, ргерепсі, берет наши 
закодированные метаданные и добавляет зПіп§ изег= Іо к [2]. Теперь наши 
преобразованные метаданные “изег=“ . базе64(те1;ас1а1;а). Третье утверждение гласит, что 
мы будем хранить наши преобразованные метаданные в НТТР-заголовке клиента, 
который называется Соокіе [3]. 


И Веасоп, и его сервер используют профили. Здесь мы прочитали профиль с точки 
зрения клиента Веасоп. Сервер Веасоп будет принимать ту же информацию и 
интерпретировать ее в обратном направлении. 
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Допустим, наш веб-сервер СоЬаІІ Зігіке получает запрос ОЕТ на ИКІ / іооЬаг. Теперь он 
хочет извлечь метаданные из транзакции. 



8іер 

Асііоп 

Баіа 

0. 

8іагі 



1. 

Ьеасіег "Соокіе" 

Кесоѵег йот Тгапзасйоп 

изег=Ъ\УѴОУ\УКМОЕ= 

2. 

ргерепсі "изег=" 

Кетоѵе йгзі 5 сйагасіегз 

Ъ\ѴѴ0Ѵ\ѴКЬёСЕ= 

3. 

Ьазе64 

Вазе64 Бесоёе 

теіаёаіа 


Инструкция заголовка скажет нашему серверу, где восстановить наши преобразованные 
метаданные [1]. НТТР-сервер заботится о том, чтобы разобрать заголовки НТТР-клиента 
для нас. Далее нам нужно разобраться с оператором ргерепё. Чтобы восстановить 
преобразованные данные, мы интерпретируем ргерепсі как удаление первых X символов 
[2], где X - длина исходной строки, которую мы добавили. Теперь все, что осталось, это 
интерпретировать последнее утверждение, Ьазе64. Мы использовали Ьазе64 епсосіе 
функцию для преобразования метаданных раньше. Теперь мы используем Ъазе64 сіесосіе 
восстановить метаданные [3]. 

Мы получим исходные метаданные после того, как интерпретатор профиля завершит 
выполнение каждого из этих обратных операторов. 


Язык Преобразования Данных 

Преобразование данных - это последовательность операторов, которые преобразуют и 
передают данные. Операторы преобразования данных: 


8іаіетепі 

Асііоп 

Іпѵегзе 

аррепсі "зЦііщ" 

Аррепё "з1:гіп§" 

Кетоѵе Іазі ЕЕЫ(“зі:гіп§”) сйагасіегз 

Ьазе64 

Вазе64 Епсосіе 

Вазе64 Бесоёе 

Ьазе64иг1 

ІІКЕ-заіе Вазе64 Епсоёе 

ЕГКЕ-заіе Вазе64 Бесоёе 

тазк 

ХОК тазк ѵѵ/ гапсіот кеу 

ХОК тазк ѵѵ/ зате гапёот кеу 

пеЛіоз 

ЫеШІОЗ Епсоёе ‘а’ 

ХеШІ08 Бесоёе ‘а’ 

пеЛіози 

ИеШІОЗ Епсоёе ‘А’ 

ХеШІ08 Бесоёе ‘А’ 

ргерепсі "з1гіп§" 

Ргерепё "зігіп§" 

Кетоѵе йгзі ЬЕЫ(“8і:гіп§”) сйагасіегз 


Преобразование данных представляет собой комбинацию любого количества этих 
операторов,в любом порядке. Например, вы можете выбрать пеіЪіоз епсосіе данные для 
передачи, добавить некоторую информацию, а затем Ъазе64 закодировать весь пакет. 

Преобразование данных всегда заканчивается оператором завершения. Вы можете 
использовать только один оператор завершения в преобразовании. Этот оператор 
сообщает Веасоп и его серверу, где в транзакции хранить преобразованные данные. 
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Есть четыре инстуркции о прекращении. 


8іаіетепІ 

\ѴЬаІ 

йеаёег “Иеасіег” 

Хранить данные в заголовке НТТР 

рагашеіег “кеу” 

Хранить данные в параметре ІЖІ 

ргіпі 

Отправить данные как тело транзакции 

игі-аррепё 

Добавить к ЕЖІ 


Неасіег оператор завершения хранит преобразованные данные в заголовке НТТР. 
Рагашеіег оператор завершения хранит преобразованные данные в параметре НТТР. 
Этот параметр всегда отправляется как часть ІЖІ. Оператор ргіпі отправляет 
преобразованные данные в теле транзакции. 

Ргіпі заявление является ожидаемым завершением инструкции для ЬИр- 
§е1.8егѵег.оиІриІ, Ьіір-розі.зегѵег.оиіриі, и ЬіІр-8Іа§ег.8егѵег.оиІриІ Ыоскз. Вы можете 
использовать Ііеасіег, рагашеіег, ргіпі и игі-аррепсі как операторы завершения и для 
других блоков. 

Если вы используете Иеасіег, рагашеіег, ог игі-аррепё Іегшіпаііоп инструкцию на йіір- 
розі.сііепі.оиіриі, Веасоп будет разбивать свои ответы на разумную длину, чтобы 
вписаться в размер запроса. 

Эти блоки и данные, которые они отправляют, описаны в следующем разделе. 

Строки 

Язык профиля Веасоп позволяет использовать «строки» в нескольких местах. В общем 
случае строки интерпретируются а8-із(как есть). Тем не менее, есть несколько 
специальных значений, которые вы можете использовать в строке: 


Ѵаіие 

8ресіа1 Ѵаіие 

“\п” 

Ыесѵііпе сЬагасІег 

“\г” 

Саггіа§е Кеіит 

“\Г 

ТаЬ сйагасіег 

“\и####” 

А ипісоёе сйагасіег 

“\х##” 

А Ъуіе (е.§., \х41 = ‘А’) 


\ 


Неасіегз апсі Рагатеіегз (Заголовки и Параметры) 

Преобразование данных является важной частью процесса настройки индикатора. Тони 
позволяют вам обрабатывать данные, которые Веасоп должен отправлять или получать с 
каждой транзакцией. Вы также можете добавить посторонние показатели к каждой 
транзакции. 


В запросе НТТР ОЕТ или Р08Т, эти посторонние индикаторы имеют вид заголовков или 
параметров. Используйте инструкцию рагашеіег внутри клиентского блока, чтобы 
добавить произвольный параметр в транзакцию НТТР ОЕТ или Р08Т. 
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Этот код заставит Веасоп добавить ?Ьаг=ЫаЬ Іо Йіе /йэоЪаг ТЛИ когда он делает запрос. 

Ь-ЬСр-деС { 

сііепк. { 

рагатеСег "Ъаг" "ЫаЬ" ; 

Используйте Ьеаёег внутри клиентских или серверных блоков, чтобы добавить 
произвольный НТТР-заголовок к клиентскому запросу или ответу сервера. Этот 
заголовок добавляет индикатор, который облегчает работу групп мониторинга 
безопасности сети. 

Ь-ЬСр-деС { 

зегѵег { 

ЪеасЗег "Х-ЫоС-МаІѵаге" "I рготізе!"; 

Интерпретатор профиля будет интерпретировать ваши заголовки и операторы 
параметров по порядку. Тем не менее, Ѵ/іпШеІ НЪгагу (сііепі) и СоЬаЙ Зігіке веб сервер 
окончательно определит, где в транзакции появятся эти индикаторы. 

ОПЦИИ 

Вы можете настроить Веасоп’з по умолчанию через файл профиля. Существует два типа 
опций: глобальные и локальные. Глобальные параметры изменяют глобальные 
настройки Веасоп. Локальные параметры зависят от транзакции. Вы должны установить 
локальные параметры в правильном контексте. Используйте оператор зек чтобы 
установить опцию. 

зек. "зІеерСіте" "1000"; 

Вот некоторые опции: 


Орйоп 

Сопіехі БеГаиІІѴаІие 

Сйап§е8 

сіпзісііе 

о.о.о.о 

ІР-адрес, используемый 
для недоступных задач 

БЫ8 Веасоп; Маска для 
других БЫ8 С2 ѵаіиез 

йп8_тах_1хі 

252 

Максимальная длина БХ8 
ТХТ ответа на задачи 

сіпззіеер 

0 

Заставь спать перед 
каждым БЫ8 запросом. 

(в миллисекундах) 

йп8_8Іа§ег_ргерепгі 


Добавить текст к этапу 
полезной нагрузки БХ8 
ТХТ гесогсі з1:а§ег 

йп8_8Іа§ег_8иЬЬо8І 

.8І:а§е. 123456. 

Субдомен, используемый 

БЫ8 ТХТ гесогсі з1а§ег. 

(ІП8 Ш 

1 

ТТЬ для БЫ8 ответов 

Ьо8і_8іа§е 

Цие 

Полезная нагрузка хоста 
НТТР, НТТР8, ог БЫ8. 
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Требуется для з1а§егз. 

Лііег 


0 

Коэфицент іійег (0-99%) 

тахйпз 


255 

Максимальная длина имени 
хоста при загрузке на ЭХ8 
(0-255) 

рірепате 


тза§епІ_## 

Имя канала по умолчанию, 
используемое для 
одноранговой связи 8МВ 
Веасоп.. ## -номер вашего 
командного сервера. 

рірепате_8іа§ег 


8ІаЩ8_## 

Имя канала, которое 
используется для 8МВ 
Веасоп. ## номер. 

«атріепате 


Му РгоШе 

Название этого профиля 
(используется в отчете ) 

«Іеергіте 


60000 

Время сна по умолчанию (іп 
тіііізесопсіз) 

8ра\ѵпіо_х86 


%\ѵіпсІіг%\8у 8 \уо\у64\піпсі 113 2. ехе 

х86 по умолчанию для 
внедрения зйеіісосіе 

8ра\\пІо_х64 


%\ѵіпсІіг%\8у 8па1іѵе\тп(1113 2. ехе 

х64 по умолчанию для 
внедрения зЬеІІсойе 

Ісррогі 


4444 

Порт перехватчика ТСР 
Веасоп по умолчанию 

игі 

Ьйр-§еІ, 

Ьйр-розІ 

|гециігей орііоп] 

Транзакция ІЖІ 

игі х86 

Ыі р-8І;а§ег 


х86 полезная нагрузка ІЖІ 

игі х64 

Шр-8І;а§ег 


х64 полезная нагрузка ІЖІ 

и8ега§епі 


Гніете! Ехріогег (Папёот) 

Беіаиі! ЕГзег-А§епІ &г 

НТТР соттз. 

ѵегЬ 

й«р-§еІ, 

Ьйр-розі 

ОЕТ, Р08Т 

НТТР ѴегЬ используемый 
для транзакции 


С опцией игі, Вы можете указать несколько ІЖІ как строку, разделенную пробелом. 
Веб-сервер СоЪаІІ 8ігіке свяжет все эти ІЖІ и назначит один из этих ІЖІ каждому хосту 
Веасоп при создании этапа Веасоп. 

Хотя опция изега§еп! существует; Вы можете использовать оператор Неасіег, чтобы 
переопределить эту опцию. 

11.4 Установка НТТР 

Веасоп имеет стадийную полезную нагрузку. Это означает, что полезная нагрузка 
загружается с помощью 8Іа§ег и вводится в память. Ваши Ьйр-§еІ апсі Ьйр-розІ 
Индикаторы не вступят в силу, пока Веасоп не будет в памяти вашей цели. МаІІеаЫе С2’з 
Ьйр-з!а§ег блок настраивает процесс установки НТТР. 
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Ь-ЬЕр-зЕадег { 

зек игі_х86 "/деЕ32 .ді^" ; 
зек. игі_хб4 "/дек.64 .ді^" ; 

Опция игі_х86 устанавливает ТЖІ для загрузки этапа полезной нагрузки х86. Опция 
игі_х64 устанавливает ТЖІ для загрузки этапа полезной нагрузки х64. 

сІіепЕ { 

рагатеЕег "і<і" "1234"; 

Ьеасіег "Соокіе" "ЗошеѴаІие"; 

} 


Ключевое слово сііепі в контексте Ьйр-8Іа§ег определяет клиентскую сторону 
транзакции НТТР. Используйте ключевое слово рагатеіег, чтобы добавить параметр в 
ТЛИ. Используйте ключевое слово Ьеасіег, чтобы добавить заголовок к НТТР-запросу 
ОЕТ. 

зегѵег { 

Ьеасіег "СопЕепЕ-Туре" "ітаде/діЕ"; 
оиЕриЕ { 

ргерепсі "СІР89а"; 
ргіпЕ; 

} 

} 

} 


Ключевое слово зегѵег в контексте Ьйр-8Іа§ег определяет сторону сервера транзакции 
НТТР. Ключевое слово Ьеасіег добавляет заголовок сервера к ответу сервера.Ключевое 
слово оиіриі в контексте сервера ЬИр-зІа§ег это преобразование данных для изменения 
стадий полезной нагрузки. Это преобразование может только добавлять и добавлять 
строки к зІа§е. Используйте оператор завершения ргіпі, чтобы закрыть этот выходной 
блок. 

11.5 Маяк транзакции Веасоп НТТР 

Чтобы собрать все это вместе, полезно знать, как выглядит транзакция Веасоп и какие 
данные отправляются с каждым запросом. 


Транзакция начинается, когда Веасоп отправляет НТТР-запрос ОЕТ на веб-сервер СоЬаЬ 
Зігіке. В это время Веасоп должен отправить теіасіаіа, содержащую информацию о 
скомпрометированной системе. 

Подсказка: метаданные сеанса - это зашифрованный большой массив данных. 
Без кодирования это не подходит для транспортировке в заголовке или 
параметре ШИ. Всегда применяйте оператор Ъазе64, Ъазе64иг1 или пеіЫоз для 
кодирования ваших метаданных. 


Веб-сервер СоЬаЬ 8йіке отвечает на этот НТТР ОЕТ задачами, которые Веасоп должен 
выполнить. Эти задачи изначально отправляются в виде одного зашифрованного 
двоичного двоичного объекта. Вы можете преобразовать эту информацию с помощью 
ключевого слова оиіриі в контексте сервера Ьйр-§еІ. 
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Когда Веасоп выполняет свои задачи, он накапливает выходные данные. После того, как 
все задачи выполнены, Веасоппроверяет, есть ли выходные данные для отправки. Если 
нет выходных данных, Веасоп идет спать. Если есть выходные данные, Веасоп 
инициирует транзакцию НТТР Р08Т. 

Запрос НТТР Р08Т должен содержать і(1 сессии в параметре или заголовке ЦШ. СоЬаІІ 
8ітіке использует эту информацию, чтобы связать вывод с нужным сеансом. Размещенный 
контент изначально представляет собой зашифрованный двоичный двоичный объект. Вы 
можете преобразовать эту информацию с помощью ключевого слова оиіриі в контексте 
клиента Ьйр-розі. 

Веб-сервер С'оЬаЙ 8йіке может отвечать на НТТР Р08Т всем, что ему нравится. Веасоп 
не использует и не обрабатывает эту информацию. Вы можете указать вывод НТТР 
Р08Т с помощью блока оиіриі под контекстом сервера Ьйр-розі. 

Примечание: хотя Ніір-деі использует СЕТ по умолчанию и Ніір-розі использует 
РОСТ по умолчанию, вы не застряли с этими параметрами. Используйте 
опцию ѵегЪ изменить эти значения по умолчанию. Здесь все очень гибко. 

Эта таблица суммирует ключевые слова и данные, которые они отправляют: 


Кодиезі 

Сотропепі 

Віоск 

Баіа 

Ьйр-§еІ 

с1іеп1 

теіасіаіа 

Метаданные сеанса 

Ьйр-§еІ 

8егѵег 

оиіриі: 

Задачи Веасоп 

Ьйр-ро8І 

сііепі 

ісі 

Идентификатор сессии 

Ьйр-ро8І 

сііепі 

оиіриі 

Веасоп ответы 

Ьйр-ро8І 

8егѵег 

оиіриі 

пустой 

Ьйр-з1а§ег 

8егѵег 

оиіриі 

Кодированная стадия полезной нагрузки 
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11.6 НТТР Конфигурация сервера 

Блок Шр-сопй§ влияет на все НТТР-ответы, обрабатываемые веб-сервером СоЬак 
8ітіке. Здесь вы можете указать дополнительные заголовки НТТР и порядок 
заголовков НТТР. 

ЬЕЕр-сопіід { 

зеЕ Ьеасіегз "ЦаЕе, Бегѵег, СопЕепЕ-ЬепдЕЬ, Кеер-АІіѵе, 
СоппесЕіоп, СопЕепЕ-Туре" ; 

ЬеасЗег "бегѵег" "АрасЬе"; 

Ьеасіег "Кеер-АІіѵе" "ЕітеоиЕ=5, тах=100"; 

Ьеасіег "СоппесЕіоп" "Кеер-АІіѵе"; 

зеЕ ЕгизЕ_х_іогѵгагсІесІ_іог "Егие"; 

} 

Ключевое слово Ьеасіег добавляет значение заголовка к каждому из НТТР-ответов СоЬаЙ 
8ітіке. Если значение заголовка уже определено в ответе, это значение игнорируется. 

Опция $еІ Ьеасіегв Устанавливает порядок доставки этих НТТР-заголовков в НТТР- 
ответе. Любые заголовки, отсутствующие в этом списке, добавляются в конец. 

Опция $еі (хи$(:_х_Б)гл\ аг(1е(1_Б)г решает, использует ли СоЬаН 8іхіке заголовок X- 
Рог\ѵагсІесі-Рог НТТР для определения удаленного адреса запроса. Используйте эту 
опцию, если ваш сервер СоЬаЙ 8іхіке под редиректором НТТР. 

11.7 Самоподписанные 551 Сертификаты с $51 Веасоп 

НТТР8 Веасоп использует НТТР Веасоп’8 индикаторы вкоммуникации. МаІІеаЫе С2 
профили могут также указывать параметры для Веасоп С2 самоиодписанных серверов 
88Ь сертификаты. Это полезно, если вы хотите скопировать что-то с уникальными 
индикаторами в 88Ь-сертификате: 

ЬЕЕрз-сегЕіЕісаСе { 

зеЕ СЫ "ЬоЬзшаІѵаге .сот"; 

зеЕ О "ВоЪ' з Маіѵгаге" ; 

} 

Параметры сертификата под контролем вашего профиля: 


Орйоп 

Ехатріе 

Бевспрйоп 

С 

ЕГ8 

Страна 

ск 

Ьеасоп.соЬаІЫгіке.сот 

Обычное имя; Ваш обратный домен 

ь 

\ѴазЬіп§1:оп 

Местонахождение 

о 

8іга1е§іс СуЬег ІХС 

Название организации 

ои 

СегііГісаІе Берагйпепі: 

Название организационной единицы 

8Т 

БС 

штат или провинция 

ѵаІісІіЕу 

365 

Количество дней действия сертификата 
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11.8 действительные 551. Сертификаты с 551. Веасоп 

У вас есть возможность использовать действительный сертификаты 88Ь с Веасоп. 
Используйте МаІІеаЫе С2 профиль для указания файла хранилища ключей Іаѵа и 
пароля для хранилища ключей. Это хранилище ключей должно содержать закрытый 
ключ вашего сертификата, корневой сертификат, любые промежуточные сертификаты 
и сертификат домена, предоставленный поставщиком 88Ь-сертификата. СоЬаЙ 8ігіке 
ожидает найти файл Іаѵа КеузШге в той же папке, что и ваш профиль МаІІеаЫе С2. 

Ъ'Ь'Ьрз-сег'Ьі^іса'Ье { 

зеЬ кеузЬоге "сіотаіп.з -йоге" ; 
зек. раззѵогсі "шураззѵогсі" ; 

} 

Параметры для использования действительного сертификата 88Ь: 


Орйоп 

Ехатріе 

Бевсгірйоп 

кеувіоге 

сіотаіп. 8Іоге 

Іаѵа Кеузіоге с информацией о сертификате 

ра«8\ѵог(І 

тураззѵѵогб 

Пароль к вашему Іаѵа Кеузіоге 


Вот шаги для создания действительного сертификата 88Ь для использования с Веасоп СоЬаЙ 8йіке: 

1. Используйте программу кеуіооі для создания файла хранилища ключей Іаѵа. Эта программа 
спросит: «Вашем имя и фамилия?» Убедитесь, что вы ответили полным доменным именем на ваш 
сервер Веасоп. Также убедитесь, что вы запомнили пароль хранилища ключей. Вам это 
понадобится позже. 

$ кеуѣооі -депкеу -кеуаід К5А -кеузіге 2048 -кеузѣоге сіотаіп. зЬоге 

2. Используйте кеуіооі для генерации запроса на подпись сертификата (С8К). Вы отправите этот 
файл своему поставщику 88Ь-сертификата. Они проверят, кто вы и выдадут сертификат. С 
некоторыми поставщиками проще и дешевле иметь дело, чем с другими. 

$ кеуѣооі -сегѣгед -кеуаід К5А -іііе сіотаіп. сзг -кеузѣоге сіотаіп.зѣоге 

3 Импортируйте Кооі и любые промежуточные сертификаты, которые предоставляет ваш поставщик 
88Ь. 

$ кеуѣооі -ітрогѣ -ѣгизѣсасегѣз -аііаз РІЬЕ -іііе РіЬЕ.сгѢ -кеузѣоге 
сіотаіп. зѣоге 

4. Наконец, вы должны установить свой сертификат домена. 

$ кеуѣооі -ітрогѣ -ѣгизѣсасегѣз -аііаз тукеу -іііе сіотаіп.сгѣ -кеузЪоге 
сіотаіп. зѣоге 

Вот и все. Теперь у вас есть файл Іаѵа КеузШге, который можно использовать с 

Веасоп СоЬаЙ 8йіке. 
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11.9 Варианты Профиля 

МаІІеаЫе С2 файлы профиля, по умолчанию содержат один профиль. Можно упаковать 
варианты текущего профиля, указав варианты блоков для Ьйр-§е1:, Ьйр-розі:, Ьпр-8іа§ег и 
Ьйрз-сегййсаіе. 

Вариант блока указан как [Ыоск пате] “ѵагіапі пате” {...}• Вот вариант блока Ьпр- 
§е1 с именем «Мой вариант»: 

ЬСк-р-деС "Му УагіапС" { 
сііепб. { 

рагатеСег "Ьаг" "ЫаЬ" ; 

Вариантный блок создает копию текущего профиля с указанными вариантными 
блоками, заменяя блоки по умолчанию в самом профиле. Каждое уникальное имя 
варианта создает новый профиль варианта. Вы можете заполнить профиль столькими 
вариантам, сколькими пожелаете. 

Варианты выбираются при настройке перехватчика Веасоп НТТР или НТТР8. 

Варианты позволяют каждому перехватчику НТТР или НТТР8 Веасоп, привязанному к 
одному командному серверу, иметь сетевые ЮС, отличающиеся друг от друга. 

11.10* НСОТ КЕП'Е Ѳ ІГІТ 

Аііаскз -> Раска§е$ -> \Ѵіпс1олѵ$ ЕхесиіаЫе или \Ѵіпс1олѵ$ ЕхесиіаЫе (8) даст вам 
возможность подписать исполняемый файл или файл БІХ. Чтобы использовать эту 
опцию, вы должны указать файл хранилища ключей Іаѵа с сертификатом подписи кода 
и закрытым ключом. СоЬаЙ 8ігіке будет искать файл Іаѵа Кеузіоге в той же папке, что и 
ваш профиль МаІІеаЫе С2. 

сосіе-зідпег { 

зе-Ь кеуз-Ьоге " кеуз-Ьоге о кз " ; 
зе-Ь раззъгогсі "раззѵгогсі"; 
зе-Ь аііаз "зегѵег"; 

} 

Настройки сертификата подписи кода: 


Орііоп 

Ехатріе 

Бевсгірііоп 

аііаз 

зегѵег 

Псевдоним хранилища ключей сертификата 

йі§е8і а1§огііЬт 

8НА256 

Алгоритм дайджеста 

кеузіоге 

кеу$іогеокз 

Іаѵа Кеузіоге с информацией о сертификате 

ра88\ѵогй 

тураззм^огй 

Пароль к вашему Іаѵа Кеузіоге 

іітеЧатр 

іаізе 

Отметка времени используя сторонний сервис 

Ііте8іатр иг1 

Шр://1;іте8І;атр.(Іі§ісег1;.сот 

ІЖЬ-адрес службы отметок времени 
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11.11 Что более опасное, МаІІеаЫе С2 или плавательньй бассейн? 

Ответ? И то и другое. МаІІеаЫе С2 дает вам новый уровень контроля над вашей сетью и 
показателями хоста. С этой силой также приходит ответственность. МаІІеаЫе С2 - это 
также возможность совершать много ошибок. Вот несколько вещей, о которых стоит 
подумать, когда вы настраиваете свои профили: 

1. Каждый экземпляр СоЬаЙ Зігіке использует один профиль за раз. Если вы меняете профиль или 
загружаете новый профиль, ранее развернутый Веасопз, не может с вами связаться. 

2. Всегда помните о состоянии ваших данных и о том, что протокол позволит при разработке 
преобразования данных. Например, если вы закодируете метаданные в Ьазе64 и сохраните их в 
параметре ІЖІ - это не сработает. Почему? Некоторые символы Ьазе64 (+, = и Г) имеют особое 
значение в ХЖЬ. Инструмент с21іпІ и компилятор профилей не обнаружат проблемы такого типа. 

3. Всегда проверяйте свои профили, даже после небольших изменений. Если Веасоп не может 
связаться с вами, возможно, это проблема вашего профиля. Отредактируйте его и попробуйте 
снова. 

4. Доверьтесь инструменту С21ІПІ. Этот инструмент выходит за рамки профиля компилятора. 
Проверки основаны на том, как эта технология реализована. Если проверка с21іп1: не пройдена, это 
означает, что с вашим профилем возникла реальная проблема. 
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12. МаІІеаЫе РЕ, Внедрение процесса, и Пост-эксплуатация 

12.1 Обзор 

МаІІеаЫе С2 профили больше чем индикаторы связи. МаІІеаЫе С2 профили также 
контролируют характеристики Веасоп в памяти, определяют, как Веасои выполняет 
внедрение процесса, а также влияют на работу Собак Зіхіке пост-эксплуатации. В этой 
главе описаны эти расширения языка МаІІеаЫе С2. 

12.2 РЕ и Индикаторы Памяти 

Блок 8Ы§е в профилях МаІІеаЫе С2 управляет загрузкой Веасоп в память и редактирует 
содержимое БІХ Веасоп. 

8-Ьаде { 

зеѣ изегтлгх "іаізе"; 

зеѣ сотрі1е_Ьіте "14 «Іиі 2009 8:14:00"; 
зеѣ ітаде_зіге_х86 "512000"; 
зеѣ ітаде_5І2е_х64 "512000"; 
зеѣ оЬіизсаѣе "-Ьгие"; 

Сгапзіогт-х8б { 

ргерепй "\х90\х90"; 

з-Ьггер "КеіІес-ЬіѵеЬоадег" "ОоЬеді-ЬЗ-Ьиіі"; 

> 

'Ьгапз^огт-х64 { 

# ѣгапзіогт ѢЬе х64 гБЬЬ зѣаде 

> 

зѣгіпдѵг "I ат поѣ Веасоп"; 

} 

Блоки ігап$іогт-х86 и 1гап8Іогт-х64 дополняют и трансформируют Веасоп 
Кейесйѵе БІХ 8Іа§е. Эти блоки поддерживают три команды: ргерепё, аррепсі и зйтер. 

Команда ргереші вставляет строку перед Кейесйѵе БІХ Веасоп. Команда аррепсі 
добавляет строку после Веасоп Кейесгіѵе Б IX. Убедитесь, что предварительно 
добавленные данные являются допустимым кодом для архитектуры этого типа (х86, х64). 
Программа с21іы не имеет проверки для этого. Команда «іггер заменяет строку внутри 
Веасоп’з Кейесйѵе БІХ. 

Блок 8іа§е принимает команды, которые добавляют строки в раздел .гсіаіа Веасоп БІХ. 
Команда 8(тіп« добавляет строку с нулевым символом в конце. Команда 8ігіп§\ѵ 
добавляет широкую (в кодировке ІЛТ-16ІХ) строку. Команда сіаіа добавляет вашу 
строку как есть. 
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Блок 8 Іа§е принимает несколько вариантов, которые контролируют Веасоп БЬЬ содержание 
и предоставляют подсказки, чтобы изменить поведение Веасоп ’8 Кейесйѵе Ьоасіег: 


Орйоп 

Ехатріе 

Бевсгірйоп 

сЬеск8шп 

0 

Значение СИескЗит в РЕ-заголовке Веасоп 

сіеапир 

Ызе 

Попросите Веасоп попытаться освободить 
память, связанную с пакетом Кейесйѵе БЕБ, 
который его инициализировал. 

сотрііейте 

14 Іиіу 2009 8:14:00 

Время сборки в РЕ-заголовке Веасоп 

еп1гу рот1 

92145 

Значение ЕпІгуРоіпІ в РЕ-заголовке Веасоп 

ітаце8І2ех64 

512000 

8 І 2 еОЙта§е в РЕ-заголовке х64 Веасоп 

іта§е 8Іге х86 

512000 

8 І 2 еОЙта§е в РЕ-заголовке х 86 Веасоп 

то(1иІе_х86 

хрззегѵісез.сШ 

х 86 ЕейесйѵеЕоайег загружает указанную 
библиотеку и перезаписывает ее 
пространство 

тос1и1е х64 

хрззегѵісез.ёіі 

Так же тосіиіе х 86 ; влияет на загрузчик х64 

пате 

Ьеасоп.х64.(111 

Экспортируемое имя ОБЬ-Веасоп 

оМшсаІе 

Мзе 

Запутайте таблицу Кейесйѵе БЕБ, 
перезапишите содержимое заголовка и 
попросите КейесйѵеБоайег скопировать 

Веасоп в новую память без заголовков 

гісййеагіег 


Мета-информация, вставленная компилятором 

8Іеер та8к 

Мзе 

Запутать Веасоп, в памяти, перед сном 

віотрре 

Ігие 

Попросите ЕейесйѵеЬоасІег убрать 
значения М2, РЕ и е 11апе\ѵ 

шепѵх 

Ызе 

Попросите ЕейесйѵеЬоасІег 
использовать Е\ѴХ для Веасоп ББЬ 


Клонирование Заголовков РЕ 

Пакет СоЬаЙ Зігіке для Ьіпих включает в себя инструмент ресіопе для извлечения 
заголовков из БІХ и представления их в виде готового к использованию 
сценического блока: 

./ресіопе [/раЙі/іо/вашрІе.сШ] 

Уклонение и запутывание в памяти 

Используйте команду ргерепгі чтобы избежать анализа, который сканирует первые 
несколько байтов сегмента памяти, чтобы найти признаки внедренной БІХ. Если для 
обнаружения ваших агентов используются специфичные для инструмента строки, 
измените их с помощью команды 8йтер. 

Если 8 Егер недостаточно, установите 8Іеер_та8к в Іте. Это заставляет Веасоп запутывать 
свою память перед тем, как идти спать. После сна Веасоп де-запутывает себя, чтобы 
запросить и обработать задачи. Веасоп 8 МВ и ТСР будут запутывать себя, ожидая нового 
соединения или ожидая данных из родительского сеанса. 


Решите, на сколько вы хотите выглядеть как ББЕ в памяти. Если вы хотите разрешить, 
легкое обнаружение, установите віотрре в Іаізе. Если вы хотите слегка запутать вашу 
библиотеку Веасоп ББЕ в памяти, установите 
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зіотрре в Іше. Если вы хотите принять вызов, установите оМизсаіе в Ітие. Эта опция 
сделает много шагов, чтобы запутать вашу сессию Веасоп и окончательное состояние 
БЬЬ в памяти. 

Установите шепѵх в Еаізе чтобы попросить загрузчика Веасоп избежать разрешений 
КЛУХ. Сегменты памяти с этими разрешениями привлекут дополнительное внимание 
аналитиков и продуктов для обеспечения безопасности. 

По умолчанию загрузчик Веасоп выделяет память с помощью ѴігШаІАИос. Модуль 
8іотріп§ является альтернативой этому. Установите тос1и1е_х86 в БЕБ, которая 
примерно в два раза больше, чем сама полезная нагрузка Веасоп. Загрузчик Веасоп х86 
загрузит указанную ОСЬ, найдет ее расположение в памяти и перезапишет. Это способ 
размещения Веасоп в памяти, который \У іпс1о\ѵ8 ассоциирует с файлом на диске. Важно, 
чтобы выбранная вами БББ не нужна приложениям, в которых вы собираетесь 
находиться. Опция тойи1е_х64 это та же история, но она влияет на х64 Веасоп. 


Если вас беспокоит этап Веасоп, который инициализирует БЬЕ-файл Веасоп в памяти, 
установите для очистки значение йие. Эта опция освободит память, связанную со сценой 
Веасоп, когда она больше не нужна. 

12.3 Внедрение Процесса 

Блок ввода процесса в профилях МаІІеаЫе С2 формирует внедренный контент и 
управляет поведением процесса внедрения для полезной нагрузки Веасоп. 

ргосезз-іпіесЕ { 

# зеЕ Ьоѵг тетогу ±8 а11осаЕе<1 1п а гетоЕе ргосезз 
зеЕ аІІосаЕог "ѴігЕиаІАІІосЕх" ; 

# зЬаре ЕЬе тетогу сЬагасЕегізЕісз апсі сопЕепЕ 
зеЕ тіп_а11ос "16384"; 

зеЕ зЕагЕгѵгх "Егие"; 
зеЕ изегѵгх "Еаізе"; 


ЕгапзЕогт-х86 { 

ргерепсі "\х90\х90"; 

} 

ЕгапзЕогт-х64 { 

# ЕгапзЕогт хб4 Іп^есЕесІ сопЕепЕ 

} 


# сІеЕегтіпе Ьоѵг Ео ехесиЕе ЕЬе Іп^есЕесІ сосіе 
ехесиЕе { 

СгеаЕеТЬгеасІ "пЕс111.<111!КЕ11ІзегТІігеасІ8ЕагЕ" ; 
ЗеЕТЬгеасІСопЕехЕ; 

КЕІСгеаЕеІІзегТЬгеасІ; 

} 

} 
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Блок ввода процесса принимает несколько опций, управляющих процессом 
внедрения процесса в Веасоп: 


Орйоп 

Ехатріе 

Безсгірйоп 

аііосаіог 

ѴігШаІАІІосЕх Предпочтительный метод для выделения памяти 

Укажите ѴігШаІАІІосЕх или ММарѴіеѵѵОЙесйоп. 

Параметр ММарѴіемЮЙесйоп предназначен только для 
внедрения с той же архитектурой. ѴігШаІАІІосЕх всегда 
используется для распределения памяти между арками. 

тіп а11ос 

4096 

Минимальный объем памяти для запроса 

віагіпѵх 

іаізе 

Используйте К\УХ в качестве начальных разрешений для 
внедренного контента. Альтернатива - КЛУ. 

шегѵѵх 

іаізе 

Используйте КЛУХ в качестве окончательных разрешений 
для внедренного контента. Альтернативой является КХ. 


Блоки 1гап$іогт-х86 и 1гап$іогт-х64 используют контекст внедренный Веасоп. Эти 
блоки поддерживают две команды: ргерепсі и аррепсі. Команда ргерепсі вставляет строку 
перед введенным содержимым. Команда аррепсі добавляет строку после введенного 
содержимого. Убедитесь, что предварительно добавленные данные являются 
допустимым кодом для архитектуры внедренного контента (х86, х64). Программа с21іш 
не имеет проверки для этого. 

Блок ехесиіе контролирует методы, которые Веасоп будет использовать, когда ему нужно внедрить 
код в процесс. Веасоп проверяет каждую опцию в блоке ехесШе, определяет, пригодна ли эта опция 
для текущего контекста, пробует метод, когда ее можно использовать, и переходит к следующей 
опции, если выполнение кода не произошло. Варианты выполнения включают в себя: 


Орйоп х86 -> х64 

х64 -> х86 

ГЧоіез 

СгеаІеТЬгеагі 


Только текущий процесс 

СгеаІеКешоіеТЬгеагі 

Уез 

Нет кросс-сессии 

ІЧК^иеиеАрсТІігеасІ 

ІЧКЗиеиеАрсТІігеасІ-в 


Это метод инъекции «Ранняя 

пташка». 

КЙСгеаІеІІзегТІігеай Уез 

Уез 

Использует шеллкод К\УХ для 
инъекций х86 -> х64. 

8е1Тйгеас1СопІехІ 

Уез 

Только приостановленные процессы 


Опции СгеаІеТйгеаД и СгеаіеКетоіеТЬгеасІ есть варианты, которые порождают 
приостановленный поток с адресом другой функции, обновляют приостановленный поток 
для выполнения внедренного кода и возобновляют этот поток. Используйте [Шпсйоп] 

“т осіиі е! Шп сйоп+Ох##” чтобы указать начальный адрес для подмены.Для удаленных 
процессов, пісііі апсі кеше132 единственные рекомендуемые модули для извлечения 
Необязательная Ох## часть - это смещение, добавленное к начальному адресу. Эти 
варианты работают только для х86 -> х86 и х64 -> х64. 
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Выбранные вами варианты исполнения должны охватывать множество необычных случаев. Эти 
основные случаи включают в себя самоинжекцию, внедрение в приостановленные временные 
процессы, межсессионное внедрение удаленных процессов, инъекцию х86 -> х64, инъекцию х64 -> 
х86 и инъекцию с передачей аргумента или без него. Инструмент с21іп1: предупредит вас о 
контекстах, которые ваш блок исполнения не охватывает. 

12.4 Задачи Пост-Эксплуатации 

Более крупные функции СоЬаЙ 8Шке пост-эксплуатации (например, снимок экрана, 
кейлоггер, ЬазМшпр и т. Д.) Реализованы в виде библиотек \Уіпс1о\ѵз. Чтобы выполнить 
эти функции, СоЬаЙ Зіхіке запускает временный процесс и внедряет функцию в него. 

Блок ввода процесса управляет этапом ввода процесса. Блок розі-ех управляет 
контентом и поведением, характерными для функций СоЬаЙ Зігіке пост-эксплуатации. 


розѣ-ех { 

# сопѣгоі ѢЬе ѣетрогагу ргосезз вде зраѵт ѣо 

зеѣ зраѵтѣо_х86 " %ѵгіп<3іг%\\зузѵгоѵг64\\гип<31132 .ехе"; 
зеѣ зраѵтѣо_х64 " %ѵгіп<3іг%\\зузпаѣіѵе\\гип<11132 .ехе"; 

# сЬапде ѢЬе регтіззіопз апй сопѣепѣ оі оиг розѣ-ех ЦЬЬз 
зеѣ оЬіизсаѣе "ѣгие"; 

# разе кеу іипсѣіоп роіпѣегз Гг от Веасоп Ѣо іѣз сЬіШ іоЬз 
зеѣ зтагѣіпіесѣ "ѣгие"; 

# сІізаЫе АМ8І іп роѵгегріск, ехесиѣе-аззетЫу, ап<3 рзіпіесѣ 
зеѣ атзі_<ЗізаЫе "ѣгие"; 

> 

Опции $ра\\ п(:о_х86 и §ра\ѵпІо_х64 орйопз управляют временным процессом по умолчанию, 
который появится в Веасоп для его функций пост-эксплуатации. Вот несколько советов для этих 
значений: 

1. Всегда указывайте полный путь к программе, которую вы хотите, чтобы Веасоп создавал 

2. Переменные среды (например,% \ѵіпс1іг%) в пределах этих путей - это нормально. 

3. Не указывайте% \ѵіпс1іг% \ зуз1:ет32 или с: \ \ѵіпсІо\У8 \ 8узі:ет32 напрямую. Всегда 
используйте зузлѵолѵ64 (х86) и зузпайѵе (х64). Веасоп настроит эти значения на зузІетЗЗ, 
где это необходимо. 

4. Для значения зрамчйо х86 необходимо указать программу х86. Для значения х64 зраѵ/піо вы 
должны указать программу х64. 

5. Указанные вами пути (за исключением автоматической настройки 8уз\ѵо\ѵ64 / зузпайѵе) 
должны существовать в представлении файловой системы как х64 (пайѵе), так и х86 
(\ѵо\ѵ64). 

Опция оМизсаіе оргіоп перемешивает содержимое библиотек розі-ех и устанавливает 
возможности розі-ех в памяти более безопасным для ОР8ЕС способом. Это очень похоже 
на опции оЫизсаІе и изепѵх, доступные для Веасоп через блок 8Іа§е. 
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Опция «тагіііцесі направляет Веасоп на внедрение указателей ключевых функций, таких 
как ОеіРгосАсІсІгезз и ЬоасІЬіЪгагу, в свои библиотеки ОЬЬ розЕех с той же архитектурой. 
Это позволяет библиотекам БІХ розі-ех загрузиться в новом процессе без зЬеІІсосІе- 
подобного поведения, которое обнаруживается наблюдением за доступом памяти к РЕВ и 
кете 132.ВЬЬ. 

Параметр ашзі сІізаЫе направляет рохѵегріск, ехесиІе-аззетЫу и рзііцесі: для исправления 
функции АтзіЗсапВийег перед загрузкой кода .МЕТ или Ро\ѵег81іе11. Это ограничивает 
видимость интерфейса антивирусного сканирования в этой среде. 
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13. Отчетность и регистрация 

13.1 Регистрация 

Собак Зігіке регистрирует всю свою активность на командном сервере. Эти журналы 
находятся в папке Іо §$/ в том же каталоге, из которого был запущен командный сервер. 
Вся активность Веасоп регистрируется здесь с датой и меткой времени. 

13.2 Отчеты 

Собак Зйіке имеет несколько вариантов отчетов, которые помогут разобраться в 
ваших данных и донести историю до ваших клиентов. Вы можете настроить заголовок, 
описание и хосты, отображаемые в большинстве отчетов. 



Рисунок 46. Диалог Экспорта Отчета 

Перейдите в Керогііп§ шепи и выберите один из отчетов для создания. Собак Зігіке М8 
М8 \Ѵогс1 или РЭР. 
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Отчет деятельности 

Отчет о деятельности содержит график действий Неё Іеат. Вся ваше деятельность 
пост-эксплуатации задокументирована здесь. 


Асііѵііу Керогі 


сіаіе Ьозі изег рісі асііѵііу 


09/03 07:21 

ѴѴ32 

ѵѵЬаІІа.Ьодд 

2436 

09/03 07:21 

ѴѴ52 

ѵѵЬаІІа.Ьодд 

2436 

09/03 07:21 

ѴѴ52 

ѵѵЬаІІа.Ьодд 

2436 

09/03 07:22 




09/03 07:22 

ѴѴ32 

ѵѵЬаІІа.Ьодд * 

3496 

09/03 07:22 

ѴѴ52 

ѵѵЬаІІа.Ьодд * 

3496 

09/03 07:22 

ѴѴ52 

ѵѵЬаІІа.Ьодд 

2436 

09/03 07:22 

ѴѴ52 

ѵѵЬаІІа.Ьодд 

2436 

09/03 07:22 

ѴѴ52 

ѵѵЬаІІа.Ьодд * 

3496 

09/03 07:22 

ѴѴ52 

ѵѵЬаІІа.Ьодд * 

3496 

09/03 07:22 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:22 

ѴѴ32 

ѵѵЬаІІа.Ьодд * 

3496 

09/03 07:22 

ѴѴ32 

ѵѵЬаІІа.Ьодд * 

3496 

09/03 07:22 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:22 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:22 

ѴѴ52 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:22 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:22 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:23 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:23 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:23 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:24 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:24 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 

09/03 07:24 

РІСЕЗЕРѴЕР 

ЗУЗТЕМ* 

460 

09/03 07:24 

ѴѴ32 

ѵѵЬайа.Ьодд * 

3496 


Ьозі саііесі Йоте, зепі: 8 Ьуіез 

гип: ѵѵіюаті /дгоирз 

Ьозі саііесі Йоте, зепі: 22 Ьуіез 

ѵізіі Іо /КЗІз/ (Ьеасоп Ьеасоп зіадег) Ьу 108.51.97.41 

іпіііаі Ьеасоп 

сіитр ЬазЬез 

зраѵѵп ѵѵіпс!оѵѵз/Ъеасоп_Ьйр/геѵегзе_Ьйр 
(ас!з.ІозепоІоѵе.сот:80) іп а ЬідЬ іпіедгііу ргосезз 
Ьозі саііесі Ноте, зепі: 72720 Ьуіез 
гип тітікаіг'з зекиг1за::1одопразз\л/огЬз соттапсі 
Ьозі саііесі Ьоте, зепі: 302231 Ьуіез 
гип пеі ѵіеѵѵ 

гесеіѵеЬ раззѵѵогсі ЬазЬез 

Ьозі саііесі Ьоте, зепі: 74296 Ьуіез 

гесеіѵеЬ оиіриі Ігот пеі тосіиіе 

гесеіѵеЬ оиіриі Ігот пеі тосіиіе 

ітрогі: /гооІ/РоѵѵегТооІз/РоѵѵегѴіеѵѵ/роѵѵегѵіеѵѵ.рзІ 

Ьозі саііесі Ьоте, зепі: 406136 Ьуіез 

гип: Іпѵоке-РіпсНосаІАсітіпАссезз 

Ьозі саііесі Ьоте, зепі: 35 Ьуіез 

гип: пііезі/сісІізЬСОКР 

Ьозі саііесі Ьоте, зепі: 27 Ьуіез 

гип ѵѵіпсіоѵѵ5/Ьеасоп_5тЬ/Ьіпсі_ріре (\\РІІ_ЕЗЕРѴЕР\ріре 
\зІаІиз_9756) оп РИЕ5ЕРѴЕР ѵіа Зегѵісе Сопігоі Мападег 
(\\РИЕ8ЕКѴЕК\АОМІМ$\2ѳ8аі31.ехе) 

Ьозі саііесі Ьоте, зепі: 209164 Ьуіез 
іпіііаі Ьеасоп 

езІаЫізЬесі Ііпк Іо сЬіісі Ьеасоп: РНЕЗЕРѴЕР 

Раде. 3 


Гі§иге 47. Отчет деятельности 


Отчет о хостах 

В отчете хостов обобщается информация, собранная компанией Собак Зйіке по 
каждому хосту. Здесь также перечислены службы, учетные данные и сеансы. 
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Показатели компромисса 

Этот отчет напоминает приложение "индикаторы компромисса" из доклада разведки 
угроз. Контент включает в себя сгенерированный анализ вашего профиля МаІІеаЫе С2, 
который вы использовали, и хэши МБ5 для загруженных файлов. 


Іпсіісаіогз о! Согпрготіве 


НаѵеХ Тгоіап 

ТЫз рауіоасі ѵѵаз оЬзегѵесІ іп сопіипсііоп ѵѵіІН ІЫз асіог'з асііѵіііез. 

РогІаЫе ЕхесиІаЫе ІпТогтаІіоп 


СМескзіші: 

0 

Сотрііаііоп Тітезіатр: 30 йес 2013 07:53:48 

Епігу Роіпі: 

134733 

Мате: 

ТтргоѵісІег.сіІІ 

Зіге: 

340кЬ (348160 Ьу!ез) 

Тагде! МасМпе: 

х86 

ТЫз рауіоасі гезісіез іп тетогу радез ѵѵіііі РѴѴХ регтіззіопз. ТНезе тетогу радез 
аге по! ЬаскесІ Ьу а ЯІе оп сіізк. 

Сопіасіесі Нозіз 


Нозі 

Рогі Ргоіосоіз 

172.16.4.131 

80 НТТР 


НТТР ТгаКіс 


СЕТ /іпсІисІеЛетрІаіе/ізх. рМр НТТР/1.1 
Ре!егег: М!!р://ѵѵѵ\л/ѵ.доодІе.сот 

Ассері: Іех1/хтІ,аррІіса(іоп/хтІ 1 аррІісаІіоп/хМітІ+хтІДехІ/Іі1тІ;д=0.9ДехІ/ 
рІаіп;д=0.8,ітаде/рпд,7*;д=0.5 
Ассер!-І_апдиаде: еп-из,еп;д=0.5 
Соокіе: сРННОс!РММготЬРООуѴ9Ьіѵѵ== 

Іізег-Адепі: МогіІІа/5.0 (ѴѴіпсіоѵѵз; II; М5ІЕ 7.0; ѴѴіпсІоѵѵз N1 5.2) ^ѵа/1.5.0_08 

НТТР/1.1 200 ОК 
Зегѵег: АрасІпе/2.2.26 (ІІпіх) 

Х-Ро\л/егес1-Ву: РНР/5.3.28 
СасМе-СопІгоІ: по-сасИе 
Сопіепі-Туре: !ех!/И!тІ 
Кеер-АІіѵе: !ітеои!=3, тах=100 
Соп!епІ-І_епд!Іт 238 


Рисунок 48. Показатели компромиссного отчета 
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Отчет О Сессиях 

Этот отчет документирует показатели и деятельность на основе каждой сессии. Этот 
отчет включает в себя: путь связи, по которому каждый сеанс использовался для связи с 
вами, хэши МЭ5 файлов, помещенных на диск во время этого сеанса, различные 
индикаторы (например, имена служб) и временную шкалу деятельности после 
эксплуатации. Этот отчет является фантастическим инструментом, чтобы помочь команде 
сетевой защиты понять всю активность гей и сопоставить их датчики с вашей 
активностью. 

ВІШМС-РОѴѴЕК 

ІІзег: 5Ѵ5ТЕМ * 

РЮ: 1396 

Орепесі: 09/03 07:26 


Соттипісаііоп РаІМ 


НОЗІЗ 


рогі 

ргоіосоі 

РНЕЗЕКѴЕК 


445 

ЗМВ 

ѴѴ52 


445 

ЗМВ 

54.167.83.168, асіз.іозепоіоѵе.сот 

80 

НТТР 

Асііѵііу 

сіаіе 

асііѵііу 



09/03 07:26 

езіаЫізНесі Ііпк Іо рагепі Ьеасоп: РИЕ5ЕРѴЕК 


09/03 07:27 

Иозі саііесі Йоте, зепі: 12 Ьуіез 



09/03 07:27 

іаке а зсгеепзИоІ іп 1560/х86 



09/03 07:27 

Іод кеузігокез іп 1560 (х86) 



09/03 07:27 

Иозі саііесі Йоте, зепі: 226452 Ьуіез 



09/03 07:27 

гесеіѵесі зсгеепзИоі (125875 Ьуіез) 



09/03 07:28 

Иозі саііесі Йоте, зепі: 19 Ьуіез 



09/03 07:29 

Иозі саііесі Йоте, зепі: 28 Ьуіез 




Рисунок 49. Отчет О Сессиях 


Социальная инженерия 

Отчет социальной инженерии документирует каждый раунд фишинговых писем зреаг, 
кто нажал, и что было собрано от каждого пользователя, который нажал. В этом отчете 
также показаны приложения, обнаруженные профилировщиком системы. 

Тактика, Техника и Процедуры 

Этот отчет отображает действия вашего Собак зкіке по тактике Мкге'з АТТ&Ск 
"Маігіх". В матрице АТТ&Ск описывается каждая тактика при обнаружении и меры по 
снижению рисков обнаружения. Вы можете узнать больше о Мііге в АТТ&СК по 
адресу: Ь Црз: //айаск.т ііге . ог§/ 
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13.3 Пользовательский логотип в отчетах 

Отчеты СоЬаЙ Зігіке отображают логотип СоЬаЙ Зігіке в верхней части первой 
страницы. Вы можете заменить его на изображение по вашему выбору. Перейдите к 
СоЬаІі §ігіке - > РгеГегепсев - > КерогІіп§, чтобы изменить логотип. 

Ваш пользовательский образ должен быть 1192х257рх установлен на ЗООфі. Настройка 
ЗООфі необходима для того, чтобы механизм отчетов отображал изображение нужного 
размера. 

Вы также можете установить цвет акцента. Этот цвет акцента соответствует цвету 
толстой линии под вашим изображением на первой странице отчета. Ссылки внутри 
отчетов также используют цвет акцента. 


ЕАТАПОЕ5 

Репеігайоп Тезііпд 5егѵісе 


ѴиІпегаЬіІіІу Перогі 

Аидиз114, 2012 

ТЫз героП зіпоѵѵз ѵиІпегаЬіІіііез Ьипсі Йигіпд іЫб репе!га!іоп іезі. 

Зиттагу 


ѴиІпегаЬіІіііез: 3 

ІІпідие ѴиІпегаЬіІіііез: 2 
ѴиІпегаЫе Нозіз: 2 

Сотрготізез: 6 


Рисунок 50. Пользовательский отчет 

13.4 Пользовательские отчеты 

С'оЬаЙ Зй'іке 3.0 поддерживает пользовательские отчеты. Эти сценарии определяются в 
подмножестве языка сценариев агрессора. Обратитесь к документации по сценарию 
А§§ге§зог, чтобы узнать больше об этой функции: 

• Ьйр$://ѵѵѵѵѵѵ.соЬа1<:5І:пке.сот/а§§ге550г-5сгір<: 


88 






ѵѵѵѵѵѵ.соЬак$1;гіке.сот 


Горячие клавиши 

ТЬе й)11о\ѵіп§ кеуЬоагсІ зЬоіісійз аге аѵаіІаЫе. 


8Ьогісиі 

ѴѴІіеге 

Асііоп 

Огі+А 

КОНСОЛЬ 

выбрать весь текст 

Сігі+Р 

консоль 

инструмент поиска 

Сігі+К 

консоль 

очистить консоль 

СМ+МІГШ8 

консоль 

уменьшить размер шрифта 

СМ+РІш 

консоль 

увеличить размер шрифта 

Сйі+О 

консоль 

сброс размера шрифта 

Бомш 

консоль 

показать следующую команду в истории команд 

Евсаре 

консоль 

очистить поле редактирования 

Ра§е Боѵш 

консоль 

прокрутить вниз половину экрана 

Ра§е Бр 

консоль 

прокрутить вверх половину экрана 

ТаЬ 

консоль 

выполнить текущую команду (в некоторых типах консолей) 

ир 

консоль 

показать предыдущую команду в истории команд 

Сйі+В 

везде 

отправить текущую вкладку в нижнюю часть окна Собак 8ігіке 

СйІ+Б 

везде 

закрыть текущую вкладку 

СЙІ+8ЫЙ+Б 

везде 

закрыть все вкладки кроме текущей 

Сйі+Е 

везде 

очистить нижнюю часть окна Собак 8ігіке (отменить СкЕКВ) 

Сйі+Т 

везде 

выбрать с какой сессией взаимодействовать 

Сйі+Ьей 

везде 

переключиться на предыдущю вкладку 

Сйі+О 

везде 

открыть персональные настройки 

Сйі+К 

везде 

изменить имя вкладки 

Сй1+Кі§1й 

везде 

переключиться на следующую вкладку 

Сйі+Т 

везде 

сделать скриншот текущей вкладки (результат на сервере) 

СМ+8ЫЙ+Т 

везде 

сделать скриншот Собак 8кіке (результат на сервере) 

Сй1+\Ѵ 

везде 

открыть текущую вкладку в своем окне 

Сйі+С 

диаграмма 

упорядочить сеансы по кругу 

Сйі+Н 

диаграмма 

упорядочить сеансы по иерархии 

СІГІ+МІПИ8 

диаграмма 

отдалить 

Сйі+Р 

диаграмма 

сохранить изображение отображения графика 

Сйі+Ріиз 

диаграмма 

приблизить 

Сй1+8 

диаграмма 

упорядочить сеансы в стек 

Сйі+О 

диаграмма 

установить обычный уровень приближения 

Сйі+Р 

таблицы 

открыть инструмент поиска 

Сйі+А 

цели 

выбрать все хосты 

Езсаре 

цели 

очистить выбранные хосты 
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